Defender for IoT のデバイス インベントリは、製造元、種類、シリアル番号、ファームウェアなど、特定のデバイスに関する詳細を特定するのに役立ちます。 デバイスの詳細を収集すると、チームは最も重要な資産を侵害する可能性がある脆弱性を事前に調査できます。
すべての管理対象デバイスと管理されていないデバイスを 含む最新のインベントリを構築して、すべての IoT/OT デバイスを管理する
リスクベースのアプローチでデバイスを保護 し、パッチの欠落、脆弱性などのリスクを特定し、リスク スコアリングと自動化された脅威モデリングに基づいて修正プログラムの優先順位を付けます
無関係なデバイスを削除し、organizationの基本設定を強調するためにorganization固有の情報を追加してインベントリを更新する
例:
![Azure portalの [Defender for IoT Device インベントリ] ページのスクリーンショット。](media/device-inventory/azure-device-inventory.png#lightbox)
サポート対象のデバイス
Defender for IoT のデバイス インベントリでは、次のデバイス クラスがサポートされています。
| デバイス | 例... |
|---|---|
| 製造 | 空気装置、包装システム、産業包装システム、産業用ロボットなどの産業用および運用デバイス |
| 建物 | アクセスパネル、監視装置、HVACシステム、エレベーター、スマート照明システム |
| 医療 | グルコースメーター、モニター |
| 輸送/ユーティリティ | ターンスタイル、人のカウンター、モーション センサー、火災および安全システム、インターホン |
| エネルギーとリソース | DCS コントローラー、PLC、ヒストリアン デバイス、HMI |
| エンドポイント デバイス | ワークステーション、サーバー、またはモバイル デバイス |
| エンタープライズ | スマート デバイス、プリンター、通信デバイス、またはオーディオ/ビデオ デバイス |
| 小売 | バーコードスキャナー、湿度センサー、パンチクロック |
一時的なデバイスの種類は、短時間だけ検出されたデバイスを示します。 これらのデバイスを慎重に調査して、ネットワークへの影響を把握することをお勧めします。
未分類 のデバイスは、それ以外の場合は、すぐに使えるカテゴリが定義されていないデバイスです。
デバイス管理オプション
Defender for IoT デバイス インベントリは、次の場所で使用できます。
| 場所 | 説明 | 追加の在庫サポート |
|---|---|---|
| Azure portal | クラウドに接続されているすべての OT センサーから OT デバイスが検出されました。 | - Microsoft Sentinelも使用する場合、Microsoft Sentinelのインシデントは Defender for IoT の関連デバイスにリンクされます。 - Defender for IoT ブックを 使用して、関連するアラートや脆弱性など、クラウドに接続されているすべてのデバイス インベントリを可視化します。 |
| Microsoft Defender XDR | Microsoft Defender for Endpoint エージェントによって検出されたエンタープライズ IoT デバイス | 専用のアラート、脆弱性、推奨事項で、Microsoft Defender XDR間でデバイスを関連付けます。 |
| OT ネットワーク センサー コンソール | その OT センサーによって検出されたデバイス | - ネットワーク デバイス マップ全体で検出されたすべてのデバイスを表示する - イベント タイムラインで関連するイベントを表示する |
詳細については、以下を参照してください:
デバイスを自動的に統合する
複数の OT センサーを使用して Defender for IoT を大規模に展開すると、各センサーが同じデバイスのさまざまな側面を検出する可能性があります。 デバイス インベントリ内のデバイスの重複を防ぐために、Defender for IoT は、同じゾーン内にあるデバイスと、同様の特性の論理的な組み合わせが同じデバイスであると想定しています。 Defender for IoT では、これらのデバイスが自動的に統合され、デバイス インベントリに 1 回だけ一覧表示されます。
たとえば、同じゾーンで検出された同じ IP アドレスと MAC アドレスを持つデバイスは統合され、デバイス インベントリ内の 1 つのデバイスとして識別されます。 複数のセンサーによって検出される定期的な IP アドレスとは別のデバイスがある場合は、これらの各デバイスを個別に識別する必要があります。 このような場合は、 OT センサーを 異なるゾーンにオンボードして、各デバイスが同じ IP アドレスを持っていても、個別の一意のデバイスとして識別されるようにします。 同じ MAC アドレスを持ち、異なる IP アドレスを持つデバイスはマージされず、引き続き一意のデバイスとして一覧表示されます。
一時的なデバイスの種類は、短時間だけ検出されたデバイスを示します。 これらのデバイスを慎重に調査して、ネットワークへの影響を把握することをお勧めします。
未分類 のデバイスは、それ以外の場合は、すぐに使えるカテゴリが定義されていないデバイスです。
未承認のデバイス
Defender for IoT を初めて使用する場合、センサーをデプロイした直後の学習期間中に、検出されたすべてのデバイスが 承認された デバイスとして識別されます。
学習期間が終了すると、検出された新しいデバイスは 未承認 と 新しい デバイスと見なされます。 これらのデバイスでリスクと脆弱性を慎重に確認することをお勧めします。 たとえば、Azure portalで、デバイス インベントリをフィルター処理してAuthorization == **Unauthorized**します。 デバイスの詳細ページで、関連する脆弱性、アラート、推奨事項をドリルダウンしてチェックします。
デバイスの詳細を編集するか、OT センサー デバイス マップでデバイスを移動するとすぐに 、新しい 状態が削除されます。 一方、 承認されていない ラベルは、デバイスの詳細を手動で編集し、 承認済みとしてマークするまで残ります。
OT センサーでは、承認されていないデバイスも次のレポートに含まれます。
攻撃ベクトル レポート: 未承認 としてマークされたデバイスは、ネットワークに対する脅威である可能性がある不正な疑いのあるデバイスとして攻撃ベクター シミュレーションに含まれます。
リスク評価レポート: 未承認 としてマークされたデバイスは、ネットワークに対するリスクが調査を必要とするため、リスク評価レポートに一覧表示されます。
重要な OT デバイス
OT デバイスを 重要 としてマークして、追加の追跡のためにそれらを強調表示します。 OT センサーでは、次のレポートに重要なデバイスが含まれています。
攻撃ベクトル レポート: 重要 とマークされたデバイスは、攻撃ターゲットとして攻撃ベクトル シミュレーションに含まれます。
リスク評価レポート: 重要 とマークされたデバイスは、セキュリティ スコアを計算するときにリスク評価レポートにカウントされます。
デバイス インベントリ列データ
次の表に、Azure portalと OT センサーの Defender for IoT デバイス インベントリで使用できる列、各列の説明、および編集可能なプラットフォームとプラットフォームの一覧を示します。 星付きアイテム (*) は OT センサーからも入手できます。
注:
以下に示す機能はプレビュー段階です。 Azureプレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていないAzure機能に適用されるその他の法的条件が含まれます。
| 名前 | 説明 | 編集可能 |
|---|---|---|
| 承認 * | デバイスが 承認済みとしてマークされているかどうかを判断します。 この値は、デバイスのセキュリティの変更に応じて変更する必要がある場合があります。 [承認されたデバイス] を切り替えます。 | Azureおよび OT センサーで編集可能 |
| ビジネス機能 | デバイスのビジネス機能について説明します。 | Azureで編集可能 |
| クラス | デバイスのクラス。 既定: IoT |
Azureで編集可能 |
| データ ソース | マイクロ エージェント、OT センサー、Microsoft Defender for Endpointなどのデータのソース。 既定: MicroAgent |
編集不可 |
| 説明 * | デバイスの説明。 | Azureと OT センサーの両方で編集可能 |
| デバイス ID | デバイスのAzure割り当て ID 番号。 | 編集不可 |
| ファームウェア モデル | デバイスのファームウェア モデル。 | Azureで編集可能 |
| ファームウェア ベンダー | デバイスのファームウェアのベンダー。 | 編集不可 |
| ファームウェアのバージョン * | デバイスのファームウェア バージョン。 | Azureで編集可能 |
| 最初の表示 * | デバイスが最初に表示された日付と時刻。
MM/DD/YYYY HH:MM:SS AM/PM形式で表示されます。 OT センサーで、 検出済みとして表示されます。 |
編集不可 |
| Importance | デバイスの重要なレベル: Low、 Medium、または High。 |
Azureで編集可能 |
| IPv4 アドレス * | デバイスの IPv4 アドレス。 | 編集不可 |
| IPv6 アドレス | デバイスの IPv6 アドレス。 | 編集不可 |
| 最後のアクティビティ * | デバイス インベントリを表示している場所に応じて、デバイスが最後にイベントをAzureまたは OT センサーに送信した日時。
MM/DD/YYYY HH:MM:SS AM/PM形式で表示されます。 |
編集不可 |
| Location | デバイスの物理的な場所。 | Azureで編集可能 |
| MAC アドレス * | デバイスの MAC アドレス。 | 編集不可 |
| モデル * | デバイスのハードウェア モデル。 | Azureで編集可能 |
| 名前 * | 必須。 センサーが検出したデバイスの名前、またはユーザーが入力した名前。 | Azureおよび OT センサーで編集可能 |
| ネットワークの場所 (パブリック プレビュー) * | デバイスのネットワークの場所。 構成されたサブネットに従って、デバイスが ローカル として定義されているか、 ルーティングされているかを表示します。 | 編集不可 |
| OS アーキテクチャ | デバイスのオペレーティング システム アーキテクチャ。 | 編集不可 |
| OS ディストリビューション | Android、Linux、Haiku などのデバイスのオペレーティング システムの配布。 | 編集不可 |
| OS プラットフォーム * | デバイスのオペレーティング システム (検出された場合)。 OT センサーで、 オペレーティング システムとして表示されます。 | OT センサーで編集可能 |
| OS バージョン | Windows 10や Ubuntu 20.04.1 などのデバイスのオペレーティング システムのバージョン。 | 編集不可 |
| PLC モード * |
キー状態 (物理/論理) と実行状態 (論理) の両方を含む、デバイスの PLC 動作モード。 両方の状態が同じ場合は、1 つの状態のみが一覧表示されます。 - 使用可能 な主な 状態は、 Run、 Program、 Remote、 Stop、 Invalid、および Programming Disabledです。 - 実行可能な 実行 状態は、 Run、 Program、 Stop、 Paused、 Exception、 Halted、 Trapped、 Idle、または Offlineです。 |
OT センサーで編集可能 |
| プログラミング デバイス * | デバイスを プログラミング デバイスとして定義し、エンジニアリング ステーションに関連する PLC、RTU、コントローラーのプログラミング アクティビティを実行するかどうかを定義します。 | Azureおよび OT センサーで編集可能 |
| プロトコル * | デバイスが使用するプロトコル。 | 編集不可 |
| Purdue レベル | デバイスが存在する Purdue レベル。 | OT センサーで編集可能 |
| スキャナー デバイス * | デバイスがネットワーク内でスキャンのようなアクティビティを実行するかどうかを定義します。 | OT センサーで編集可能 |
| センサー | デバイスが接続されているセンサー。 | 編集不可 |
| シリアル番号 * | デバイスのシリアル番号。 | 編集不可 |
| Site | デバイスのサイト。 すべての Enterprise IoT センサーは、 Enterprise ネットワーク サイトに自動的に追加されます。 |
編集不可 |
| スロット * | デバイスに含まれるスロットの数。 | 編集不可 |
| Subtype |
スピーカーやスマート テレビなどのデバイスのサブタイプ。 既定値: Managed Device |
Azureで編集可能 |
| Tags | デバイスのタグ。 | Azureで編集可能 |
| 型 * |
通信や産業用などのデバイスの種類。 既定値: Miscellaneous |
Azureおよび OT センサーで編集可能 |
| ベンダー * | MAC アドレスで定義されているデバイスのベンダーの名前。 < また、一貫性がありません - ベンダーと呼ばれるインベントリ、ハードウェア ベンダーと呼ばれるウィンドウ> | Azureで編集可能 |
| Vlan * | デバイスの VLAN。 | 編集不可 |
| Zone | デバイスのゾーン。 | 編集不可 |
次の列は OT センサーでのみ使用でき、編集できません。
- デバイスの DHCP アドレス。
- デバイスの FQDN アドレスと FQDN 最終参照時刻。
- OT センサーのデバイス マップで定義されているデバイスを含むデバイス グループ。
- デバイスの モジュール アドレス。
- デバイスの ラック。
- デバイスに関連付けられている 未確認のアラート アラートの数。
注:
追加の [エージェントの種類] 列と [エージェント バージョン ] 列は、デバイス ビルダーによって使用されます。 詳細については、デバイス ビルダー向けの IoT のMicrosoft Defenderに関するドキュメントを参照してください。
次の手順
詳細については、以下を参照してください。