Tutorial: Integrar e ativar um sensor de OT virtual

Este tutorial descreve as noções básicas da configuração de um Microsoft Defender para o sensor OT IoT, utilizando uma subscrição de avaliação do Microsoft Defender para IoT e a sua própria máquina virtual.

Para uma implementação completa, ponto a ponto, siga os passos para planear e preparar o seu sistema, bem como calibrar e ajustar totalmente as suas definições. Para obter mais informações, veja Deploy Defender for IoT for OT monitoring (Implementar o Defender para IoT para monitorização de OT).

Neste tutorial, vai aprender a:

Pré-requisitos

Antes de começar, certifique-se de que tem o seguinte:

• Início Rápido Concluído: introdução ao Defender para IoT para que tenha uma subscrição Azure adicionada ao Defender para IoT.

• Acesso ao portal do Azure como Administração de Segurança, Contribuidor ou Proprietário. Para obter mais informações, veja Azure funções de utilizador para monitorização de OT e IoT Empresarial com o Defender para IoT.

• Certifique-se de que tem um comutador de rede que suporte a monitorização de tráfego através de uma porta SPAN. Também precisará de, pelo menos, um dispositivo para monitorizar, ligado à porta SPAN do comutador.

• VMware, ESXi 5.5 ou posterior, instalado e operacional no sensor.

• Recursos de hardware disponíveis para a VM da seguinte forma:

  Tipo de implementação	Empresarial	Enterprise	SMB
  Largura de banda máxima	2,5 Gb/seg	800 Mb/seg	160 Mb/seg
  Máximo de dispositivos protegidos	12,000	10,000	800

• Uma compreensão da monitorização de OT com aplicações virtuais.

• Detalhes para os seguintes parâmetros de rede a utilizar para a aplicação do sensor:

  • Um endereço IP de rede de gestão
  • Uma máscara de sub-rede do sensor
  • Um nome de anfitrião da aplicação
  • Um endereço DNS
  • Um gateway predefinido
  • Quaisquer interfaces de entrada

Criar uma VM para o sensor

Este procedimento descreve como criar uma VM para o sensor com O VMware ESXi.

O Defender para IoT também suporta outros processos, como a utilização de sensores físicos ou Hyper-V. Para obter mais informações, veja Instalação do Defender para IoT.

Para criar uma VM para o sensor:

1. Certifique-se de que o VMware está em execução no computador.

2. Inicie sessão no ESXi, escolha o arquivo de dados relevante e selecione Datastore Browser.

3. Carregue a imagem e selecione Fechar.

4. Aceda a Máquinas Virtuais e, em seguida, selecione Criar/Registar VM.

5. Selecione Criar nova máquina virtual e, em seguida, selecione Seguinte.

6. Adicione um nome de sensor e, em seguida, defina as seguintes opções:

   • Compatibilidade: <versão> mais recente do ESXi

   • Família de SO convidado: Linux

   • Versão do SO convidado: Debian

7. Selecione Seguinte.

8. Escolha o arquivo de dados relevante e selecione Seguinte.

9. Altere os parâmetros de hardware virtual de acordo com as especificações necessárias para as suas necessidades. Para obter mais informações, consulte a tabela na secção Pré-requisitos acima.

A VM está agora preparada para a instalação do software Defender para IoT. Irá continuar ao instalar o software mais adiante neste tutorial, depois de integrar o sensor no portal do Azure, configurar o espelhamento de tráfego e aprovisionar o computador para gestão da cloud.

Integrar o sensor virtual

Antes de poder começar a utilizar o sensor do Defender para IoT, tem de integrar o novo sensor virtual na sua subscrição do Azure.

Para integrar o sensor virtual:

1. Na portal do Azure, aceda à página Introdução ao Defender para IoT>.

2. No canto inferior esquerdo, selecione Configurar Segurança OT/ICS.

   Em alternativa, na página Sites e sensores do Defender para IoT, selecioneOT do sensor> OT integrado.

   Por predefinição, na página Configurar Segurança OT/ICS , Passo 1: Configurou um sensor? e o Passo 2: Configurar a porta SPAN ou o TAP do assistente estão fechados.

   Irá instalar software e configurar o espelhamento de tráfego mais tarde no processo de implementação, mas deverá ter as suas aplicações prontas e o método de espelhamento de tráfego planeado.

3. No Passo 3: registar este sensor com Microsoft Defender para IoT, defina os seguintes valores:

   Nome do campo	Descrição
   Nome do recurso	Selecione o site ao qual pretende anexar os sensores ou selecione Criar site para criar um novo site. Se estiver a criar um novo site: 1. No campo Novo site , introduza o nome do seu site e selecione o botão de marca de verificação. 2. No menu Tamanho do site, selecione o tamanho do seu site. Os tamanhos listados neste menu são os tamanhos para os quais tem licença, com base nas licenças que comprou no centro de administração do Microsoft 365.
   Nome a apresentar	Introduza um nome significativo para o seu site a mostrar no Defender para IoT.
   Etiquetas	Introduza a chave de etiqueta e os valores para o ajudar a identificar e localizar o site e o sensor no portal do Azure.
   Zone	Selecione a zona que pretende utilizar para o sensor de OT ou selecione Criar zona para criar uma nova.

   Para obter mais informações, veja Planear sites e zonas OT.

4. Quando terminar de utilizar todos os outros campos, selecione Registar para adicionar o sensor ao Defender para IoT. É apresentada uma mensagem de êxito e o ficheiro de ativação é transferido automaticamente. O ficheiro de ativação é exclusivo para o sensor e contém instruções sobre o modo de gestão do sensor.

   Todos os ficheiros transferidos do portal do Azure são assinados por raiz de fidedignidade para que os computadores utilizem apenas recursos assinados.

5. Guarde o ficheiro de ativação transferido numa localização que estará acessível ao utilizador que inicia sessão na consola pela primeira vez para que possa ativar o sensor.

   Também pode transferir o ficheiro manualmente ao selecionar a ligação relevante na caixa Ativar o sensor . Irá utilizar este ficheiro para ativar o sensor, conforme descrito abaixo.

6. Na caixa Adicionar regras de permissão de saída , selecione a ligação Transferir detalhes do ponto final para transferir uma lista JSON dos pontos finais que tem de configurar como pontos finais seguros do sensor.

   Guarde o ficheiro transferido localmente. Utilize os pontos finais listados no ficheiro transferido mais à frente neste tutorial para garantir que o novo sensor consegue ligar-se com êxito ao Azure.

   Sugestão

   Também pode aceder à lista de pontos finais necessários a partir da página Sites e sensores . Para obter mais informações, veja Opções de gestão de sensores do portal do Azure.

7. No canto inferior esquerdo da página, selecione Concluir. Agora pode ver o novo sensor listado na página Sites e sensores do Defender para IoT.

   Até ativar o sensor, o estado do sensor é apresentado como Ativação Pendente.

Para obter mais informações, veja Gerir sensores com o Defender para IoT no portal do Azure.

Configurar uma porta SPAN

Os comutadores virtuais não têm capacidades de espelhamento. No entanto, para efeitos deste tutorial, pode utilizar o modo promíscuo num ambiente de comutador virtual para ver todo o tráfego de rede que passa pelo comutador virtual.

Este procedimento descreve como configurar uma porta SPAN com uma solução alternativa com o VMware ESXi.

Para configurar uma interface de monitorização com o modo Promiscuous num ESXi v-Switch:

1. Abra a página de propriedades do vSwitch e selecione Adicionar comutador virtual padrão.

2. Introduza Rede SPAN como a etiqueta de rede.

3. No campo MTU, introduza 4096.

4. Selecione Segurança e verifique se a política Modo Promíscuo está definida como Modo de aceitação .

5. Selecione Adicionar para fechar as propriedades do vSwitch.

6. Realce o vSwitch que criou e selecione Adicionar uplink.

7. Selecione a NIC física que irá utilizar para o tráfego SPAN, altere a MTU para 4096 e, em seguida, selecione Guardar.

8. Abra a página de propriedades do Grupo de Portas e selecione Adicionar Grupo de Portas.

9. Introduza Grupo de Portas SPAN como o nome, introduza 4095 como ID de VLAN e selecione Rede SPAN no menu pendente vSwitch e, em seguida, selecione Adicionar.

10. Abra as propriedades da VM do Sensor de OT .

11. Para Placa de Rede 2, selecione a rede SPAN .

12. Selecione OK.

13. Ligue-se ao sensor e verifique se o espelhamento funciona.

Validar o espelhamento de tráfego

Depois de configurar o espelhamento de tráfego, tente receber uma amostra do tráfego registado (ficheiro PCAP) a partir do SPAN do comutador ou da porta espelhada.

Um ficheiro PCAP de exemplo irá ajudá-lo:

• Validar a configuração do comutador
• Confirme que o tráfego que passa pelo comutador é relevante para monitorização
• Identificar a largura de banda e um número estimado de dispositivos detetados pelo comutador

1. Utilize uma aplicação de analisador de protocolos de rede, como o Wireshark, para registar um ficheiro PCAP de exemplo durante alguns minutos. Por exemplo, ligue um portátil a uma porta onde configurou a monitorização de tráfego.

2. Verifique se os pacotes Unicast estão presentes no tráfego de gravação. O tráfego Unicast é o tráfego enviado do endereço para outro.

   Se a maioria do tráfego for mensagens ARP, a configuração do espelhamento de tráfego não está correta.

3. Verifique se os protocolos OT estão presentes no tráfego analisado.

   Por exemplo:

   

Aprovisionamento para gestão da cloud

Esta secção descreve como configurar pontos finais a definir nas regras da firewall, garantindo que os sensores de OT se podem ligar a Azure.

Para obter mais informações, veja Métodos para ligar sensores a Azure.

Para configurar os detalhes do ponto final:

Abra o ficheiro que transferiu anteriormente para ver a lista de pontos finais necessários. Configure as regras da firewall para que o sensor possa aceder a cada um dos pontos finais necessários, através da porta 443.

Para obter mais informações, veja Aprovisionar sensores para a gestão da cloud.

Transferir software para o sensor virtual

Esta secção descreve como transferir e instalar o software do sensor no seu computador.

Para transferir software para os sensores virtuais:

1. Na portal do Azure, aceda à página Introdução ao Defender para IoT > e selecione o separador Sensor.

2. Na caixa Comprar uma aplicação e instalar software , certifique-se de que a opção predefinida está selecionada para a versão de software mais recente e recomendada e, em seguida, selecione Transferir.

3. Guarde o software transferido numa localização acessível a partir da sua VM.

Todos os ficheiros transferidos do portal do Azure são assinados por raiz de fidedignidade para que os computadores utilizem apenas recursos assinados.

Instalar software de sensor

Este procedimento descreve como instalar o software do sensor na VM.

Para instalar o software no sensor virtual:

1. Se tiver fechado a VM, inicie sessão novamente no ESXi e abra as definições da VM.

2. Para Unidade de CD/DVD 1, selecione Ficheiro ISO do arquivo de dados e selecione o software Defender para IoT que transferiu anteriormente.

3. Selecione Seguinte>Concluir.

4. Ligar a VM e abrir uma consola.

5. Quando a instalação arrancar, ser-lhe-á pedido para iniciar o processo de instalação. Selecione o item Instalar iot-sensor-<version number> para continuar ou deixá-lo iniciar automaticamente após 30 segundos. Por exemplo:

   

   Nota

   Se estiver a utilizar uma versão do BIOS legada, ser-lhe-á pedido para selecionar um idioma e as opções de instalação são apresentadas no canto superior esquerdo em vez de no centro. Quando lhe for pedido, selecione English e, em seguida, a opção Instalar iot-sensor-<version number> para continuar.

   A instalação começa, fornecendo-lhe mensagens de estado atualizadas à medida que avança. Todo o processo de instalação demora entre 20 e 30 minutos e pode variar consoante o tipo de suporte de dados que estiver a utilizar.

   Quando a instalação estiver concluída, é-lhe apresentado o seguinte conjunto de detalhes de rede predefinidos.

   IP: 172.23.41.83,
   SUBNET: 255.255.255.0,
   GATEWAY: 172.23.41.1,
   UID: 91F14D56-C1E4-966F-726F-006A527C61D
   

Utilize o endereço IP predefinido fornecido para aceder ao sensor para configuração inicial e ativação.

Validação pós-instalação

Este procedimento descreve como validar a instalação com as verificações de estado de funcionamento do sistema do sensor e está disponível para o utilizador administrador predefinido .

Para validar a instalação:

1. Inicie sessão no sensor OT como utilizador admin .

2. Selecione Definições> do SistemaVerificação do Estado de Funcionamento do Sistema deGestão> do Sensor.

3. Selecione os seguintes comandos:

   • Aplicação para verificar se o sistema está em execução. Verifique se cada item de linha mostra Em execução e se a última linha indica que o Sistema está operacional.
   • Versão para verificar se tem a versão correta instalada.
   • ifconfig para verificar se todas as interfaces de entrada configuradas durante a instalação estão em execução.

Para obter mais testes de validação pós-instalação, como gateway, DNS ou verificações de firewall, veja Validar uma instalação de software de sensor OT.

Definir a configuração inicial

O procedimento seguinte descreve como configurar as definições de configuração inicial do sensor, incluindo:

• Iniciar sessão na consola do sensor e alterar a palavra-passe do utilizador administrador
• Definir detalhes de rede para o sensor
• Definir as interfaces que pretende monitorizar
• Ativar o sensor
• Configurar as definições de certificado SSL/TLS

Inicie sessão na consola do sensor e altere a palavra-passe predefinida

Este procedimento descreve como iniciar sessão na consola do sensor OT pela primeira vez. É-lhe pedido que altere a palavra-passe predefinida para o utilizador administrador .

Para iniciar sessão no sensor:

1. Num browser, aceda ao 192.168.0.101 endereço IP, que é o endereço IP predefinido fornecido para o sensor no final da instalação.

   É apresentada a página de início de sessão inicial. Por exemplo:

   

2. Introduza as seguintes credenciais e selecione Iniciar sessão:

   • Nome de utilizador: support
   • Palavra-passe: support

   É-lhe pedido que defina uma nova palavra-passe para o utilizador administrador .

3. No campo Nova palavra-passe , introduza a sua nova palavra-passe. A sua palavra-passe tem de conter carateres alfabéticos em minúsculas e maiúsculas, números e símbolos.

   No campo Confirmar nova palavra-passe , introduza novamente a sua nova palavra-passe e, em seguida, selecione Começar.

   Para obter mais informações, veja Utilizadores com privilégios predefinidos.

O Defender para IoT | A página Descrição geral é aberta no separador Interface de gestão .

Definir detalhes de rede de sensores

No separador Interface de gestão , utilize os seguintes campos para definir detalhes de rede para o seu novo sensor:

Para efeitos deste tutorial, deixe ignorar as configurações de proxy na área Ativar proxy para conectividade na cloud (Opcional ).

Quando terminar, selecione Seguinte: Configurações da interface para continuar.

Definir as interfaces que pretende monitorizar

O separador Ligações de interface mostra todas as interfaces detetadas pelo sensor por predefinição. Utilize este separador para ativar ou desativar a monitorização por interface ou definir definições específicas para cada interface.

No separador Configurações da interface , faça o seguinte para configurar as definições das interfaces monitorizadas:

1. Selecione o botão de alternar Ativar/Desativar para quaisquer interfaces que pretenda que o sensor monitorize. Tem de selecionar, pelo menos, uma interface para continuar.

   Se não tiver a certeza sobre a interface a utilizar, selecione o botão LED da interface física Intermitente para que a porta selecionada intermita no computador. Selecione qualquer uma das interfaces que ligou ao seu comutador.

2. Para efeitos deste tutorial, ignore as definições avançadas e selecione Seguinte: Reiniciar > para continuar.

3. Quando lhe for pedido, selecione Iniciar reinício para reiniciar a máquina do sensor. Depois de o sensor recomeçar, será redirecionado automaticamente para o endereço IP que definiu anteriormente como endereço IP do sensor.

   Selecione Cancelar para aguardar o reinício.

Ativar o sensor de OT

Este procedimento descreve como ativar o novo sensor de OT.

Para ativar o sensor:

1. No separador Ativação, selecione Carregar para carregar o ficheiro de ativação do sensor que transferiu a partir do portal do Azure.

2. Selecione a opção termos e condições e, em seguida, selecione Seguinte: Certificados.

Definir definições de certificado SSL/TLS

Utilize o separador Certificados para implementar um certificado SSL/TLS no sensor OT. Embora recomendemos que utilize um certificado assinado pela AC para todos os ambientes de produção, para efeitos deste tutorial, selecione para utilizar um certificado autoassinado.

Para definir as definições de certificado SSL/TLS:

1. No separador Certificados , selecione Utilizar certificado autoassinado gerado localmente (Não recomendado) e, em seguida, selecione a opção Confirmar .

   Para obter mais informações, veja SSL/TLS certificate requirements for on-premises resources (Requisitos de certificadoS SSL/TLS para recursos no local ) e Create SSL/TLS certificates for OT appliances (Criar certificados SSL/TLS para aplicações OT).

2. Selecione Concluir para concluir a configuração inicial e abrir a consola do sensor.

Passos seguintes