Gebruikers maken en beheren op een OT-netwerksensor

  • Artikel

Microsoft Defender voor IoT biedt hulpprogramma's voor het beheren van on-premises gebruikerstoegang in de OT-netwerksensor en de verouderde on-premises beheerconsole. Azure-gebruikers worden beheerd op het niveau van het Azure-abonnement met behulp van Azure RBAC.

In dit artikel wordt beschreven hoe u on-premises gebruikers rechtstreeks op een OT-netwerksensor kunt beheren.

Standaard bevoegde gebruikers

Standaard wordt elke OT-netwerksensor geïnstalleerd met de bevoegde ondersteuningsgebruiker , die toegang heeft tot geavanceerde hulpprogramma's voor probleemoplossing en installatie.

Wanneer u een sensor voor de eerste keer instelt, meldt u zich aan bij de ondersteuningsgebruiker, maakt u een eerste gebruiker met een Beheer rol en maakt u vervolgens extra gebruikers voor beveiligingsanalisten en alleen-lezengebruikers.

Zie Uw OT-sensor en standaardprivilegieerde on-premises gebruikers installeren en instellen voor meer informatie.

Sensorversies ouder dan 23.1.x bevatten ook de cyberx en cyberx_host bevoegde gebruikers. In versie 23.1.x en hoger worden deze gebruikers geïnstalleerd, maar niet standaard ingeschakeld.

Als u de cyberx en cyberx_host gebruikers in versie 23.1.x en hoger wilt inschakelen, bijvoorbeeld om ze te gebruiken met de Defender for IoT CLI, stelt u het wachtwoord opnieuw in. Zie Het wachtwoord van een sensorgebruiker wijzigen voor meer informatie.

Een Active Directory-verbinding configureren

Het is raadzaam om on-premises gebruikers op uw OT-sensor te configureren met Active Directory, zodat Active Directory-gebruikers zich kunnen aanmelden bij uw sensor en Active Directory-groepen kunnen gebruiken, met collectieve machtigingen die zijn toegewezen aan alle gebruikers in de groep.

Gebruik bijvoorbeeld Active Directory wanneer u een groot aantal gebruikers hebt waaraan u alleen-lezentoegang wilt toewijzen en u deze machtigingen op groepsniveau wilt beheren.

Tip

Wanneer u klaar bent om uw OT-sensorinstellingen op schaal te beheren, definieert u Active Directory-instellingen vanuit Azure Portal. Nadat u instellingen vanuit Azure Portal hebt toegepast, zijn instellingen op de sensorconsole alleen-lezen. Zie INSTELLINGEN voor OT-sensor configureren vanuit Azure Portal (openbare preview) voor meer informatie.

Integreren met Active Directory:

  1. Meld u aan bij uw OT-sensor en selecteer System Instellingen> Integrations>Active Directory.

  2. Schakel de optie Active Directory-integratie ingeschakeld in.

  3. Voer de volgende waarden in voor uw Active Directory-server:

    Name Beschrijving
    FQDN van domeincontroller De FQDN (Fully Qualified Domain Name), precies zoals deze op uw LDAP-server wordt weergegeven. Voer bijvoorbeeld host1.subdomain.contoso.com in.

    Als u een probleem ondervindt met de integratie met behulp van de FQDN, controleert u uw DNS-configuratie. U kunt ook het expliciete IP-adres van de LDAP-server invoeren in plaats van de FQDN bij het instellen van de integratie.
    Poort van domeincontroller De poort waar uw LDAP is geconfigureerd. Gebruik bijvoorbeeld poort 636 voor LDAPS-verbindingen (SSL).
    Primair domein De domeinnaam, zoals subdomain.contoso.comen selecteer vervolgens het verbindingstype voor uw LDAP-configuratie.

    Ondersteunde verbindingstypen zijn: LDAPS/NTLMv3 (aanbevolen), LDAP/NTLMv3 of LDAP/SASL-MD5
    Active Directory-groepen Selecteer + Toevoegen om indien nodig een Active Directory-groep toe te voegen aan elk vermeld machtigingsniveau.

    Wanneer u een groepsnaam invoert, moet u ervoor zorgen dat u de groepsnaam exact opgeeft zoals deze is gedefinieerd in uw Active Directory-configuratie op de LDAP-server. Gebruik deze groepsnamen bij het toevoegen van nieuwe sensorgebruikers met Active Directory.

    Ondersteunde machtigingsniveaus zijn alleen-lezen, beveiligingsanalist, Beheer en vertrouwde domeinen.

    Belangrijk

    Bij het invoeren van LDAP-parameters:

    • Definieer waarden precies zoals ze worden weergegeven in Active Directory, met uitzondering van het geval.
    • Alleen kleine letters van de gebruiker, zelfs als de configuratie in Active Directory hoofdletters gebruikt.
    • LDAP en LDAPS kunnen niet worden geconfigureerd voor hetzelfde domein. U kunt echter elk in verschillende domeinen configureren en deze vervolgens tegelijkertijd gebruiken.

  4. Als u een andere Active Directory-server wilt toevoegen, selecteert u + Server toevoegen boven aan de pagina en definieert u deze serverwaarden.

  5. Wanneer u al uw Active Directory-servers hebt toegevoegd, selecteert u Opslaan.

    Voorbeeld:

    Screenshot of the active directory integration configuration on the sensor.

Nieuwe OT-sensorgebruikers toevoegen

In deze procedure wordt beschreven hoe u nieuwe gebruikers maakt voor een specifieke OT-netwerksensor.

Vereisten: deze procedure is beschikbaar voor de cyberx, ondersteuning en cyberx_host gebruikers, en elke gebruiker met de rol Beheer.

Een gebruiker toevoegen:

  1. Meld u aan bij de sensorconsole en selecteer Users>+ Add user.

  2. Op de pagina Een gebruiker maken | Voer de volgende gegevens in op de pagina Gebruikers :

    Name Beschrijving
    Gebruikersnaam Voer een betekenisvolle gebruikersnaam in voor de gebruiker.
    E-mailen Voer het e-mailadres van de gebruiker in.
    Voornaam Voer de voornaam van de gebruiker in.
    Achternaam Voer de achternaam van de gebruiker in.
    - Rol Selecteer een van de volgende gebruikersrollen: Beheer, Beveiligingsanalist of Alleen-lezen. Zie On-premises gebruikersrollen voor meer informatie.
    Wachtwoord Selecteer het gebruikerstype, lokaal of Active Directory-gebruiker.

    Voer voor lokale gebruikers een wachtwoord in voor de gebruiker. Wachtwoordvereisten zijn onder andere:
    - Ten minste acht tekens
    - Zowel kleine letters als alfabetische hoofdletters
    - Ten minste één getal
    - Ten minste één symbool

    Lokale gebruikerswachtwoorden kunnen alleen worden gewijzigd door Beheer gebruikers.

    Tip

    Als u integreert met Active Directory, kunt u groepen gebruikers koppelen aan specifieke machtigingsniveaus. Als u gebruikers wilt maken met Active Directory, moet u eerst een Active Directory-verbinding configureren en vervolgens terugkeren naar deze procedure.

  3. Kies Opslaan wanneer u klaar bent.

Uw nieuwe gebruiker wordt toegevoegd en wordt weergegeven op de pagina Sensorgebruikers.

Als u een gebruiker wilt bewerken, selecteert u het pictogram Bewerken voor de gebruiker die u wilt bewerken en wijzigt u indien nodig waarden.

Als u een gebruiker wilt verwijderen, selecteert u de knop Verwijderen voor de gebruiker die u wilt verwijderen.

Het wachtwoord van een sensorgebruiker wijzigen

In deze procedure wordt beschreven hoe Beheer gebruikers lokale gebruikerswachtwoorden kunnen wijzigen. Beheer gebruikers kunnen wachtwoorden voor zichzelf of voor andere beveiligingsanalisten of alleen-lezengebruikers wijzigen. Bevoegde gebruikers kunnen hun eigen wachtwoorden en de wachtwoorden voor Beheer gebruikers wijzigen.

Tip

Als u de toegang tot een bevoegde gebruikersaccount wilt herstellen, raadpleegt u Bevoegde toegang tot een sensor herstellen.

Vereisten: deze procedure is alleen beschikbaar voor de cyberx, ondersteuning of cyberx_host gebruikers, of voor gebruikers met de Beheer rol.

Het wachtwoord van een gebruiker op een sensor wijzigen:

  1. Meld u aan bij de sensor en selecteer Gebruikers.

  2. Zoek op de pagina Gebruikers van de sensor de gebruiker waarvan het wachtwoord moet worden gewijzigd.

  3. Selecteer rechts van die gebruikersrij het menu >Opties (...) Bewerken om het gebruikersvenster te openen.

  4. Voer in het gebruikersvenster aan de rechterkant in het gebied Wachtwoord wijzigen het nieuwe wachtwoord in en bevestig het. Als u uw eigen wachtwoord wijzigt, moet u ook uw huidige wachtwoord invoeren.

    Wachtwoordvereisten zijn onder andere:

    • Ten minste acht tekens
    • Zowel kleine letters als alfabetische hoofdletters
    • Ten minste één getal
    • Ten minste één symbool

  5. Kies Opslaan wanneer u klaar bent.

Bevoegde toegang tot een sensor herstellen

In deze procedure wordt beschreven hoe u bevoegde toegang tot een sensor kunt herstellen, voor de cyberx, ondersteuning of cyberx_host gebruikers. Zie Voor meer informatie standaard bevoegde on-premises gebruikers.

Vereisten: deze procedure is alleen beschikbaar voor de cyberx, ondersteuning of cyberx_host gebruikers.

Bevoegde toegang tot een sensor herstellen:

  1. Meld u aan bij de OT-netwerksensor. Selecteer in het aanmeldingsscherm de koppeling Opnieuw instellen . Voorbeeld:

    Screenshot of the sensor sign-in screen with the Reset password link.

  2. Selecteer in het dialoogvenster Wachtwoord opnieuw instellen in het menu Gebruiker kiezen de gebruiker waarvan u het wachtwoord herstelt, Cyberx, Ondersteuning of CyberX_host.

  3. Kopieer de unieke id-code die wordt weergegeven in de wachtwoord-id opnieuw instellen op het klembord. Voorbeeld:

    Screenshot of the Reset password dialog on the OT sensor.

  4. Ga naar de pagina Defender for IoT-sites en -sensoren in Azure Portal. Mogelijk wilt u Azure Portal openen in een nieuw browsertabblad of -venster, zodat het sensortabblad geopend blijft.

    Zorg ervoor dat u in de Azure-portal-instellingen >directory's en abonnementen hebt geselecteerd waarvoor uw sensor is toegevoegd aan Defender for IoT.

  5. Zoek op de pagina Sites en sensoren de sensor waarmee u werkt en selecteer het menu Opties (...) aan de rechterkant >Mijn wachtwoord herstellen. Voorbeeld:

    Screenshot of the Recover my password option on the Sites and sensors page.

  6. Voer in het dialoogvenster Herstellen dat wordt geopend de unieke id in die u hebt gekopieerd naar het klembord van uw sensor en selecteer Herstellen. Er wordt automatisch een bestand password_recovery.zip gedownload.

    Alle bestanden die vanuit Azure Portal worden gedownload, worden ondertekend door de hoofdmap van vertrouwen, zodat uw computers alleen ondertekende assets gebruiken.

  7. Ga terug naar het sensortabblad en selecteer bestand selecteren in het scherm Wachtwoordherstel. Navigeer naar het password_recovery.zip-bestand dat u eerder hebt gedownload vanuit Azure Portal en upload het bestand.

    Notitie

    Als er een foutbericht wordt weergegeven waarin wordt aangegeven dat het bestand ongeldig is, hebt u mogelijk een onjuist abonnement geselecteerd in de instellingen van de Azure-portal.

    Ga terug naar Azure en selecteer het instellingenpictogram op de bovenste werkbalk. Zorg ervoor dat u op de pagina Mappen en abonnementen het abonnement hebt geselecteerd waarop uw sensor is toegevoegd aan Defender for IoT. Herhaal vervolgens de stappen in Azure om het bestand password_recovery.zip te downloaden en upload het opnieuw op de sensor.

  8. Selecteer Volgende. Er wordt een door het systeem gegenereerd wachtwoord voor uw sensor weergegeven voor gebruik voor de geselecteerde gebruiker. Noteer het wachtwoord omdat het niet opnieuw wordt weergegeven.

  9. Selecteer Volgende opnieuw om u aan te melden bij uw sensor met het nieuwe wachtwoord.

Maximum aantal mislukte aanmeldingen definiëren

Gebruik de CLI-toegang van de OT-sensor om het aantal maximaal mislukte aanmeldingen te definiëren voordat een OT-sensor voorkomt dat de gebruiker zich opnieuw aanmeldt vanaf hetzelfde IP-adres.

Zie Defender for IoT CLI-gebruikers en -toegang voor meer informatie.

Vereisten: deze procedure is alleen beschikbaar voor de cyberx-gebruiker.

  1. Meld u aan bij uw OT-sensor via SSH en voer het volgende uit:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py

  2. Stel in het bestand settings.py de "MAX_FAILED_LOGINS" waarde in op het maximum aantal mislukte aanmeldingen dat u wilt definiëren. Zorg ervoor dat u rekening houdt met het aantal gelijktijdige gebruikers in uw systeem.

  3. Sluit het bestand af en voer het uit sudo monit restart all om uw wijzigingen toe te passen.

Time-outs voor gebruikerssessies beheren

Standaard worden on-premises gebruikers na 30 minuten inactiviteit afgemeld bij hun sessies. Beheer gebruikers de lokale CLI-toegang kunnen gebruiken om deze functie in of uit te schakelen, of om de drempelwaarden voor inactiviteit aan te passen. Zie Defender for IoT CLI-gebruikers en toegang tot en CLI-opdrachtverwijzing van OT-netwerksensoren voor meer informatie.

Notitie

Eventuele wijzigingen die zijn aangebracht in time-outs van gebruikerssessies, worden opnieuw ingesteld op standaardwaarden wanneer u de OT-bewakingssoftware bijwerkt.

Vereisten: deze procedure is alleen beschikbaar voor de cyberx, ondersteuning en cyberx_host gebruikers.

Time-outs voor sensorgebruikerssessies beheren:

  1. Meld u aan bij uw sensor via een terminal en voer het volgende uit:

    sudo nano /var/cyberx/properties/authentication.properties

    De volgende uitvoer wordt weergegeven:

    infinity_session_expiration=true
session_expiration_default_seconds=0
session_expiration_admin_seconds=1800
session_expiration_security_analyst_seconds=1800
session_expiration_read_only_users_seconds=1800
certifcate_validation=false
crl_timeout_secounds=3
crl_retries=1
cm_auth_token=

  2. Voer een van de volgende stappen uit:

    • Als u time-outs voor gebruikerssessies volledig wilt uitschakelen, gaat u naar infinity_session_expiration=trueinfinity_session_expiration=false. Wijzig deze weer om deze weer in te schakelen.

    • Als u een time-outperiode voor inactiviteit wilt aanpassen, past u een van de volgende waarden aan op de vereiste tijd, in seconden:

      • session_expiration_default_seconds voor alle gebruikers
      • session_expiration_admin_secondsalleen voor Beheer gebruikers
      • session_expiration_security_analyst_secondsalleen voor gebruikers van beveiligingsanalisten
      • session_expiration_read_only_users_secondsalleen voor alleen-lezengebruikers

Volgende stappen

Zie Gebruikersactiviteit controleren voor meer informatie.