Solución de problemas del sensor y de la consola de administración local

En este artículo se describen las herramientas básicas de solución de problemas para el sensor y la consola de administración local. Además de los elementos que se describen aquí, puede comprobar el estado del sistema de las siguientes maneras:

Alertas: Cuando la interfaz de sensor que supervisa el tráfico está inactiva, se crea una alerta.

SNMP: El estado del sensor se supervisa mediante SNMP. Microsoft Defender para IoT responde a las consultas SNMP enviadas desde un servidor de supervisión autorizado.

Notificaciones del sistema: Cuando una consola de administración controla el sensor, puede reenviar alertas sobre las copias de seguridad del sensor con errores y los sensores desconectados.

Herramienta para la solución de problemas del sensor

Investigación del error de contraseña en el inicio de sesión inicial

Al iniciar sesión en un sensor Arrow preconfigurado por primera vez, deberá realizar la recuperación de contraseña.

Para recuperar la contraseña:

  1. En la pantalla de inicio de sesión de Defender para IoT, seleccione la opción Recuperación de contraseña. Se abre la pantalla Recuperación de contraseña.

  2. Seleccione CyberX o Soporte técnico y copie el identificador único.

  3. Vaya a Azure Portal y seleccione Sitios y sensores.

  4. Seleccione el menú desplegable Más acciones y seleccione Recover on-premises management console password (Recuperar contraseña de la consola de administración local).

    Captura de pantalla de la opción de recuperación de la contraseña de la consola de administración local.

  5. Escriba el identificador único que recibió en la pantalla Recuperación de contraseña y seleccione Recuperar. Se descarga el archivo password_recovery.zip.

    Captura de pantalla de la introducción del identificador único y la posterior selección de Recuperar.

    Nota

    No modifique el archivo de recuperación de contraseña. Es un archivo firmado y no funcionará si se altera.

  6. En la pantalla Recuperación de contraseña, seleccione Cargar. Se abrirá la ventana Cargar archivo de recuperación de contraseña.

  7. Seleccione Examinar para buscar el archivo password_recovery.zip, o arrástrelo a la ventana.

  8. Seleccione Siguiente; aparecerá el usuario y la contraseña generada por el sistema para la consola de administración.

    Nota

    Cuando inicie sesión en un sensor o en una consola de administración local por primera vez, se vinculará a la suscripción a la que lo conectó. Si necesita restablecer la contraseña para el usuario de CyberX o soporte técnico, deberá seleccionar esa suscripción. Para más información sobre cómo recuperar una contraseña de usuario de CyberX o de soporte técnico, consulte Recuperación de la contraseña de la consola de administración local o el sensor.

Investigar la falta de tráfico

Cuando el sensor reconoce que no hay tráfico en uno de los puertos configurados, aparece un indicador en la parte superior de la consola. Este indicador es visible para todos los usuarios.

Captura de pantalla de la alerta de que no se ha detectado tráfico.

Cuando aparezca este mensaje, puede investigar dónde no hay tráfico. Asegúrese de que el cable del intervalo está conectado y de que no se ha producido ningún cambio en la arquitectura del intervalo.

Para obtener información de soporte técnico y solución de problemas, póngase en contacto con el Soporte técnico de Microsoft.

Compruebe el rendimiento del sistema.

Cuando se implementa un nuevo sensor o, por ejemplo, el sensor funciona lentamente o no muestra ninguna alerta, puede comprobar el rendimiento del sistema.

Para comprobar el rendimiento del sistema:

  1. En el panel de información, asegúrese de que PPS > 0.

    Captura de pantalla de un panel de información de ejemplo.

  2. Seleccione Dispositivos en el menú lateral.

  3. En la ventana Dispositivos, asegúrese de que se detectan los dispositivos.

    Captura de pantalla de los dispositivos detectados.

  4. Seleccione Minería de datos en el menú lateral.

  5. En la ventana Minería de datos, seleccione TODOS y genere un informe.

    Captura de pantalla de la generación de un nuevo informe mediante la pantalla de minería de datos.

  6. Asegúrese de que el informe contiene datos.

    Captura de pantalla de la pantalla para asegurarse de que el informe contiene datos.

  7. En el menú lateral, seleccione Tendencias y estadísticas.

  8. En la ventana Tendencias y estadísticas, seleccione Agregar widget.

    Captura de pantalla del proceso de agregar un widget seleccionándolo.

  9. Agregue un widget y asegúrese de que muestre datos.

    Captura de pantalla del widget mostrando datos.

  10. Seleccione Alertas en el menú lateral. Aparecerá la ventana Alertas.

  11. Asegúrese de que se han creado las alertas.

    Captura de pantalla de las alertas creadas.

Investigación de una falta de alertas previstas en el sensor

Si la ventana Alertas no muestra una alerta esperada, compruebe lo siguiente:

  • Compruebe si la misma alerta ya aparece en la ventana Alertas como reacción a una instancia de seguridad diferente. En caso afirmativo, y si esta alerta no se ha controlado todavía, la consola del sensor no muestra ninguna alerta nueva.

  • Asegúrese de que no ha excluido esta alerta mediante el uso de las reglas de Exclusión de alertas en la consola de administración.

Investigar widgets que no muestran datos

Cuando los widgets de la ventana Tendencias y estadísticas no muestran ningún dato, haga lo siguiente:

Investigar un mapa de dispositivos que muestra solo dispositivos de difusión

Cuando los dispositivos mostrados en el mapa no aparecen conectados entre sí, es posible que se haya producido un error en la configuración del puerto de intervalo. Es decir, es posible que solo vea dispositivos de difusión y ningún tráfico de unidifusión.

Captura de pantalla de los dispositivos de difusión.

En tal caso, debe comprobar que solo puede ver el tráfico de difusión. A continuación, pida al ingeniero de red que corrija la configuración del puerto de intervalo para que también pueda ver el tráfico de unidifusión.

Para comprobar que solo está viendo el tráfico de difusión:

  • En la pantalla Minería de datos, cree un informe mediante la opción Todos. A continuación, vea si en el informe solo aparece el tráfico de difusión y multidifusión (y no hay tráfico de unidifusión).

O:

  • Registre un PCAP directamente desde el conmutador, o bien conecte un portátil mediante Wireshark.

Conectar el sensor a NTP

Puede configurar un sensor independiente y una consola de administración, con los sensores relacionados, para conectarse a NTP.

Para conectar un sensor independiente a NTP:

Para conectar un sensor controlado por la consola de administración a NTP:

  • La conexión a NTP está configurada en la consola de administración. Todos los sensores que controla la consola de administración obtienen la conexión NTP automáticamente.

A veces, los dispositivos ICS están configurados con direcciones IP externas. Estos dispositivos ICS no se muestran en el mapa. En lugar de los dispositivos, aparece una nube de Internet en el mapa. Las direcciones IP de estos dispositivos se incluyen en la imagen en la nube.

Otra indicación del mismo problema es cuando aparecen varias alertas relacionadas con Internet.

Captura de pantalla de varias alertas relacionadas con Internet.

Para corregir la configuración:

  1. Haga clic con el botón derecho en el icono de la nube en el mapa del dispositivo y seleccione Exportar direcciones IP. Copie los intervalos públicos que son privados y agréguelos a la lista de subredes. Para obtener más información, consulte Configurar subredes.

  2. Generar un nuevo informe de minería de datos para las conexiones a Internet.

  3. En el informe de minería de datos, seleccione para entrar en el modo de administrador y eliminar las direcciones IP de los dispositivos ICS.

Ajustar la Calidad de servicio (QoS) del sensor

Para guardar los recursos de red, puede limitar el ancho de banda de la interfaz que usa el sensor para los procedimientos cotidianos.

Para limitar el ancho de banda de la interfaz, use la herramienta CLI cyberx-xsense-limit-interface que se debe ejecutar con permisos sudo. La herramienta acepta los argumentos siguientes:

  • * -i: interfaces (ejemplo: eth0).

  • * -l: límite (ejemplo: 30 kbit/1 Mbit). Puede usar las siguientes unidades de ancho de banda: kbps, Mbps, kbit, Mbit o bps.

  • * -c: borrar (para borrar el límite de ancho de banda de la interfaz).

Para ajustar la Calidad de servicio (QoS) :

  1. Inicie sesión en la CLI del sensor como un usuario de Defender para IoT y escriba sudo cyberx-xsense-limit-interface-I eth0 -l value.

    Por ejemplo: sudo cyberx-xsense-limit-interface -i eth0 -l 30kbit

    Nota

    Para un dispositivo físico, use la interfaz em1.

  2. Para borrar la limitación de la interfaz, escriba sudo cyberx-xsense-limit-interface -i eth0 -l 1mbps -c.

Herramientas de solución de problemas de la consola de administración local

Investigación de la falta de alertas previstas en la consola de administración

Si no se muestra una alerta esperada en la ventana Alertas, compruebe lo siguiente:

  • Compruebe si la misma alerta ya aparece en la ventana Alertas como reacción a una instancia de seguridad diferente. En caso afirmativo, y si esta alerta no se ha controlado todavía, no se mostrará una nueva alerta.

  • Asegúrese de que no ha excluido esta alerta mediante el uso de las reglas de Exclusión de alertas en la consola de administración local.

Ajustar la Calidad del servicio (QoS)

Para ahorrar recursos de red, puede limitar el número de alertas enviadas a sistemas externos (como correos electrónicos o SIEM) en una operación de sincronización entre un dispositivo y la consola de administración local.

El valor predeterminado es 50. Esto significa que en una sesión de comunicación entre un dispositivo y la consola de administración local, no habrá más de 50 alertas para sistemas externos.

Para limitar el número de alertas, use la propiedad notifications.max_number_to_report disponible en /var/cyberx/properties/management.properties. No es necesario reiniciar después de cambiar esta propiedad.

Para ajustar la Calidad de servicio (QoS) :

  1. Inicie sesión como un usuario de Defender para IoT.

  2. Compruebe los valores predeterminados:

    grep \"notifications\" /var/cyberx/properties/management.properties
    

    Aparecerán los siguientes valor predeterminado:

    notifications.max_number_to_report=50
    notifications.max_time_to_report=10 (seconds)
    
  3. Edite la configuración predeterminada:

    sudo nano /var/cyberx/properties/management.properties
    
  4. Edite la configuración de las siguientes líneas:

    notifications.max_number_to_report=50
    notifications.max_time_to_report=10 (seconds)
    
  5. Guarde los cambios. No es necesario reiniciar.

Exportación de información del sensor para solucionar problemas

Además de las herramientas para la supervisión y el análisis de la red, puede enviar información al equipo de soporte técnico para realizar una investigación más detallada. Al exportar registros, el sensor generará automáticamente una contraseña de un solo uso (OTP), única para los registros exportados, en un archivo de texto independiente.

Para exportar registros:

  1. En el panel izquierdo, seleccione Configuración del sistema.

  2. Seleccione Exportar registros.

    Captura de pantalla de la pantalla de exportación de un registro al soporte del sistema.

  3. En el campo Nombre de archivo, escriba el nombre de archivo que desea utilizar para la exportación del registro. La fecha predeterminada es la actual.

  4. Para definir los datos que desea exportar, seleccione las categorías de datos:

    Exportar categoría Descripción
    Registros del sistema operativo Seleccione esta opción para obtener información acerca del estado del sistema operativo.
    Registros de instalación/actualización Seleccione esta opción para investigar los parámetros de configuración de la instalación y la actualización.
    Salida de integridad del sistema Seleccione esta opción para comprobar el rendimiento del sistema.
    Registros de disección Seleccione esta opción para permitir la inspección avanzada de la disección de protocolo.
    Volcados de kernel del sistema operativo Seleccione esta opción para exportar el volcado de memoria del kernel. Un volcado de memoria del kernel contiene toda la memoria que está usando el kernel en el momento del problema que se produjo en este kernel. El tamaño del archivo de volcado es menor que el volcado de memoria completo. Normalmente, el archivo de volcado ocupa alrededor de un tercio respecto al tamaño de la memoria física del sistema.
    Registros de reenvío Seleccione esta opción para investigar las reglas de reenvío.
    Registros de SNMP Seleccione esta opción para recibir información de comprobación de la integridad de SNMP.
    Registros de aplicación principal Seleccione esta opción para exportar los datos sobre la operación y la configuración de la aplicación principal.
    Registros de comunicación con CM Seleccione esta opción si hay problemas continuos o interrupciones de conexión con la consola de administración.
    Registros de aplicación web Seleccione esta opción para obtener información sobre todas las solicitudes enviadas desde la interfaz web de la aplicación.
    Copia de seguridad del sistema Seleccione esta opción para exportar una copia de seguridad de todos los datos del sistema para investigar el estado exacto del sistema.
    Estadísticas de disección Seleccione esta opción para permitir la inspección avanzada de las estadísticas de protocolo.
    Registros de base de datos Seleccione esta opción para exportar los registros de la base de datos del sistema. La investigación de los registros del sistema ayuda a identificar los problemas del sistema.
    Configuración Seleccione esta opción para exportar información acerca de todos los parámetros configurables para asegurarse de que todo se configuró correctamente.
  5. Para seleccionar todas las opciones, seleccione Seleccionar todas junto a Elegir categorías.

  6. Seleccione Exportar registros.

Los registros exportados se agregan a la lista Registros archivados. Envíe la OTP al equipo de soporte técnico en un mensaje independiente y en medio de los registros exportados. El equipo de soporte técnico podrá extraer los registros exportados solo mediante la OTP única que se usa para cifrar los registros.

La lista de registros archivados puede contener hasta cinco elementos. Si el número de elementos de la lista va más allá de ese número, se eliminará el elemento más antiguo.

Exportación del registro de auditoría desde la consola de administración

Los registros de auditoría registran información clave en el momento de la aparición. Los registros de auditoría son útiles cuando se intentan averiguar los cambios que se han realizado y quién los ha llevado a cabo. Los registros de auditoría se pueden exportar en la consola de administración y contienen la información siguiente:

Acción Información registrada
Información y corrección de alertas Id. de alerta
Cambios de contraseña Usuario, id. de usuario
Inicio de sesión Usuario
Creación de usuario Usuario, rol de usuario
Restablecimiento de contraseña Nombre de usuario
Reglas de exclusión:

- Creación

- Edición

- Eliminación


Resumen de regla

Id. de regla, resumen de regla

Id. de regla
Actualización de la consola de administración Archivo de actualización usado
Reintento de actualización del sensor El identificador de sensor
Paquete de TI cargado No se ha registrado información adicional.

Para exportar el registro de auditoría:

  1. En el panel izquierdo de la consola de administración, seleccione Configuración del sistema.

  2. Selecciona Export (Exportar).

  3. En el campo Nombre de archivo, escriba el nombre de archivo que desea utilizar para el registro exportado. Si no se introduce ningún nombre, el nombre de archivo predeterminado será la fecha actual.

  4. Seleccione Registros de auditoría.

  5. Selecciona Export (Exportar).

    Captura de pantalla de la pantalla de selección de Registros de auditoría y, a continuación, de Exportar para crear el archivo.

El registro exportado se agrega a la lista Registros archivados. Seleccione el botón para ver la OTP. Envíe la cadena de OTP al equipo de soporte técnico en un mensaje independiente de los registros exportados. El equipo de soporte técnico podrá extraer los registros exportados solo mediante la OTP única que se usa para cifrar los registros.

Captura de pantalla del archivo que creó en la sección de archivos archivados de la ventana de exportación de información de solución de problemas.

Pasos siguientes