Partager via


Gérer les console de gestion locales (héritées)

Important

Defender pour IoT recommande désormais d’utiliser les services cloud Microsoft ou l’infrastructure informatique existante pour la supervision centralisée et la gestion des capteurs, et prévoit de mettre hors service le console de gestion local le 1er janvier 2025.

Pour plus d’informations, consultez Déployer la gestion des capteurs OT hybrides ou air-gapped.

Cet article décrit les activités de console de gestion locale supplémentaires que vous pouvez effectuer en dehors d’un processus de déploiement plus important.

Attention

Seuls les paramètres de configuration documentés sur le capteur réseau OT et la console de gestion locale sont pris en charge pour la configuration du client. Ne modifiez pas les paramètres de configuration non documentés ni les propriétés système, car ces modifications peuvent entraîner un comportement inattendu et des défaillances système.

La suppression de packages de votre capteur sans l’approbation de Microsoft peut entraîner des résultats inattendus. Tous les packages installés sur le capteur sont requis pour une fonctionnalité correcte du capteur.

Prérequis

Avant d’effectuer les procédures décrites dans cet article, vérifiez que vous avez :

Télécharger le logiciel de la console de gestion locale

Vous devrez peut-être télécharger des logiciels pour votre console de gestion locale si vous installez le logiciel Defender pour IoT sur vos propres appliances ou si vous mettez à jour les versions logicielles.

Dans Defender pour IoT dans le portail Azure, utilisez l’une des options suivantes :

  • Pour une nouvelle installation ou une mise à jour autonome, sélectionnez Prise en main>de la console de gestion locale.

    • Pour une nouvelle installation, sélectionnez une version dans la zone Acheter un appareil et installer un logiciel , puis sélectionnez Télécharger.
    • Pour une mise à jour, sélectionnez votre scénario de mise à jour dans la zone Console de gestion locale , puis sélectionnez Télécharger.
  • Si vous mettez à jour votre console de gestion locale avec des capteurs OT connectés, utilisez les options du menu >Mise à jour du capteur (préversion) de la page Sites et capteurs.

Ajouter une carte réseau secondaire après l’installation

Améliorez la sécurité de votre console de gestion locale en ajoutant une carte réseau secondaire dédiée aux capteurs attachés dans une plage d’adresses IP. Lorsque vous utilisez une carte réseau secondaire, la première carte est dédiée aux utilisateurs finaux, et la carte secondaire prend en charge la configuration d’une passerelle pour les réseaux routés.

Cette procédure explique comment ajouter une carte réseau secondaire après avoir installé votre console de gestion locale.

Pour ajouter une carte réseau secondaire :

  1. Connectez-vous à votre console de gestion locale via SSH pour accéder à l’interface CLI et exécutez :

    sudo cyberx-management-network-reconfigure
    
  2. Entrez les réponses suivantes aux questions ci-dessous :

    Screenshot of the required answers to configure your appliance.

    Paramètres Réponse à entrer
    Adresse IP du réseau de gestion N
    Masque de sous-réseau N
    DNS N
    Adresse IP par défaut de la passerelle N
    Interface de surveillance du capteur
    facultatif. S’applique lorsque les capteurs se trouvent sur un segment de réseau différent.
    Y et sélectionnez une valeur possible
    Une adresse IP pour l’interface de surveillance du capteur Y, et entrez une adresse IP accessible par les capteurs
    Un masque de sous-réseau pour l’interface de surveillance du capteur Y, et entrez une adresse IP accessible par les capteurs
    Nom d’hôte Entrer le nom d'hôte
  3. Vérifiez tous les choix, puis entrez Y pour accepter les modifications. Le système redémarre.

Charger un nouveau fichier d’activation

Vous avez activé votre console de gestion locale dans le cadre de votre déploiement.

Vous devrez peut-être réactiver votre console de gestion locale dans le cadre de procédures de maintenance, par exemple si le nombre total d’appareils supervisés dépasse le nombre d’appareils compris dans votre licence.

Pour charger un nouveau fichier d’activation dans votre console de gestion locale :

  1. Dans Defender pour IoT dans le Portail Azure, sélectionnez Plans et tarification.

  2. Choisissez votre plan et sélectionnez ensuite Télécharger le fichier d’activation de la console de gestion locale.

    Enregistrez votre fichier téléchargé dans un emplacement accessible à partir de la console de gestion locale.

    Tous les fichiers téléchargés à partir du portail Azure sont signés par la racine de confiance afin que vos machines utilisent uniquement des ressources signées.

  3. Connectez-vous à votre console de gestion locale et sélectionnez Paramètres système>Activation.

  4. Dans la boîte de dialogue Activation, sélectionnez CHOISIR UN FICHIER, puis le fichier d’activation téléchargé précédemment.

  5. Sélectionnez Fermer pour enregistrer vos modifications.

Gérer les certificats SSL/TLS

Si vous travaillez avec un environnement de production, vous avez déployé un certificat SSL/TLS signé par une autorité de certification dans le cadre de votre déploiement de console de gestion locale. Nous vous recommandons d’utiliser des certificats auto-signés uniquement à des fins de test.

Les procédures suivantes décrivent comment déployer des certificats SSL/TLS mis à jour, par exemple si le certificat a expiré.

Pour déployer un certificat signé par une autorité de certification :

  1. Connectez-vous à votre console de gestion locale et sélectionnez Paramètres système>Certificats SSL/TLS.

  2. Dans la boîte de dialogue Certificats SSL/TLS, sélectionnez + Ajouter un certificat et entrez les valeurs suivantes :

    Paramètre Description
    Nom de certificat Entrez le nom de votre certificat.
    Phrase secrète - Facultatif Entrez une phrase secrète.
    Clé privée (fichier de clé) Charger une clé privée (fichier de clé).
    Certificat (fichier CRT) Charger un certificat (fichier CRT).
    Chaîne de certificats (fichier PEM) - Facultatif Charger une chaîne de certificats (fichier PEM).

    Par exemple :

    Screenshot of importing a trusted CA certificate.

    Si le chargement échoue, contactez votre administrateur de sécurité ou informatique. Pour plus d’informations, consultez Exigences de certificat SSL/TLS pour les ressources locales et Créer des certificats SSL/TLS pour des appliances OT.

  3. Sélectionnez l’option Activer la validation des certificats pour activer la validation à l’échelle du système pour les certificats SSL/TLS avec les listes d’autorité de certification et de révocation de certificats.

    Si cette option est activée et que la validation échoue, la communication entre les composants concernés est interrompue et une erreur de validation apparaît sur le capteur. Pour plus d’informations, consultez Configuration requise pour les fichiers CRT.

  4. Cliquez sur Enregistrer pour enregistrer vos modifications.

Résoudre les erreurs liées au chargement d’un certificat

Vous ne pourrez pas charger des certificats sur vos capteurs OT ou vos consoles de gestion locales si les certificats ne sont pas créés correctement ou s’ils ne sont pas valides. Utilisez le tableau suivant pour comprendre comment effectuer une action si le chargement de votre certificat échoue et qu’un message d’erreur s’affiche :

Erreur de validation du certificat Recommandation
La phrase secrète ne correspond pas à la clé Vérifiez que vous avez la phrase secrète correcte. Si le problème persiste, essayez de recréer le certificat à l’aide de la phrase secrète correcte. Pour plus d’informations, consultez Caractères pris en charge pour les clés et les phrases secrètes.
Impossible de valider la chaîne de confiance. Le certificat et l’autorité de certification racine fournis ne correspondent pas. Vérifiez que le fichier .pem est en corrélation avec le fichier .crt.
Si le problème persiste, essayez de recréer le certificat à l’aide de la chaîne d’approbation correcte, comme défini par le fichier .pem.
Ce certificat SSL a expiré et n’est pas considéré comme valide. Créez un certificat avec des dates valides.
Ce certificat a été révoqué par la liste de révocation de certificats et ne peut pas être approuvé pour une connexion sécurisée Créez un certificat non révoqué.
L’emplacement de la liste de révocation de certificats n’est pas accessible. Vérifiez que l’URL est accessible à partir de cette appliance. Vérifiez que votre configuration réseau permet au capteur ou à la console de gestion locale d’atteindre le serveur de liste de révocation de certificats (CRL) défini dans le certificat.
Pour plus d’informations, consultez Vérifier l’accès au serveur CRL.
Échec de la validation du certificat Ceci indique une erreur générale dans l’appliance.
Contactez le support Microsoft.

Modifier le nom de la console de gestion locale

Le nom par défaut de votre console de gestion locale est Console de gestion et est affiché dans l’interface graphique utilisateur de console de gestion locale et les journaux de résolution des problèmes.

Pour modifier le nom de votre console de gestion locale :

  1. Connectez-vous à votre console de gestion locale et sélectionnez le nom en bas à gauche, juste au-dessus du numéro de version.

  2. Dans la boîte de dialogue Modifier la configuration de la console de gestion, entrez votre nouveau nom. Les noms doivent comporter 25 caractères au maximum. Par exemple :

    Screenshot of how to change the name of your on-premises management console.

  3. Cliquez sur Enregistrer pour enregistrer vos modifications.

Récupérer le mot de passe d’un utilisateur privilégié

Si vous n’avez plus accès à votre console de gestion locale en tant qu’utilisateur privilégié, récupérez l’accès à partir du portail Azure.

Pour récupérer l’accès utilisateur privilégié :

  1. Accédez à la page de connexion de votre console de gestion locale, puis sélectionnez Récupération du mot de passe.

  2. Sélectionnez l’utilisateur pour lequel vous souhaitez récupérer l’accès, soit l’utilisateur Support ou CyberX.

  3. Copiez l’identificateur affiché dans la boîte de dialogue Récupération de mot de passe vers un emplacement sécurisé.

  4. Accédez à Defender pour IoT dans le portail Azure et assurez-vous que vous affichez l’abonnement utilisé pour intégrer les capteurs OT actuellement connectés à la console de gestion locale.

  5. Sélectionnez Sites et capteurs>Plus d’actions>Récupérer un mot de passe de console de gestion locale.

  6. Entrez l’identificateur de secret que vous avez copié précédemment à partir de votre console de gestion locale, puis sélectionnez Récupérer.

    Un fichier password_recovery.zip est téléchargé à partir de votre navigateur.

    Tous les fichiers téléchargés à partir du portail Azure sont signés par la racine de confiance afin que vos machines utilisent uniquement des ressources signées.

  7. Dans la boîte de dialogue Récupération du mot de passe de la console de gestion locale, sélectionnez Charger, puis sélectionnez le fichier password_recovery.zip que vous avez téléchargé.

Vos nouvelles informations d’identification s’affichent.

Modifier le nom d’hôte

Le nom d’hôte de la console de gestion locale doit correspondre au nom d’hôte configuré dans le serveur DNS de l’organisation.

Pour modifier le nom d’hôte enregistré sur la console de gestion locale :

  1. Connectez-vous à la console de gestion locale et sélectionnez Paramètres système.

  2. Dans la zone Mise en réseau de la console de gestion, sélectionnez Réseau.

  3. Entrez le nouveau nom d’hôte, puis sélectionnez ENREGISTRER pour enregistrer vos modifications.

Définir des noms de VLAN

Les noms de VLAN ne sont pas synchronisés entre un capteur OT et la console de gestion locale. Si vous avez défini des noms de VLAN sur votre capteur OT, nous vous recommandons de définir des noms VLAN identiques sur la console de gestion locale.

Pour définir des noms de VLAN :

  1. Connectez-vous à la console de gestion locale et sélectionnez Paramètres système.

  2. Dans la zone Mise en réseau de la console de gestion, sélectionnez VLAN.

  3. Dans la boîte de dialogue Modifier la configuration VLAN, sélectionnez Ajouter un VLAN, puis entrez votre ID et votre nom de VLAN, un par un.

  4. Cliquez sur ENREGISTRER pour enregistrer vos modifications.

Configurer les paramètres du serveur de messagerie SMTP

Définissez les paramètres du serveur de messagerie SMTP sur votre console de gestion locale afin de configurer la console de gestion locale pour envoyer des données à d’autres serveurs et services partenaires.

Par exemple, vous aurez besoin d’un serveur de messagerie SMTP configuré pour configurer le transfert de courrier et les règles d’alerte de transfert.

Prérequis :

Vérifiez que vous pouvez accéder au serveur SMTP à partir de la console de gestion locale.

Pour configurer un serveur SMTP sur votre console de gestion locale :

  1. Connectez-vous à votre console de gestion locale en tant qu’utilisateur privilégié via SSH/Telnet.

  2. Exécutez :

    nano /var/cyberx/properties/remote-interfaces.properties
    
  3. Entrez les détails du serveur SMTP suivants à l’invite :

    • mail.smtp_server
    • mail.port. Le port par défaut est 25.
    • mail.sender

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :