攻撃ベクトル レポートは、特定の OT ネットワーク センサーによって検出されたデバイスに対して、特定の攻撃パス内の脆弱なデバイスのチェーンを示します。 ネットワーク内の特定のターゲットに対する攻撃をシミュレートして、脆弱なデバイスを検出し、攻撃ベクトルをリアルタイムで分析します。
攻撃ベクトル レポートは、軽減アクティビティを評価して、ネットワークへのリスクを軽減するために必要なすべての手順を実行していることを確認するのにも役立ちます。 たとえば、攻撃ベクトル レポートを使用して、ソフトウェアの更新によって攻撃者のパスが中断されるかどうか、または代替攻撃パスがまだ残っているかどうかを把握できます。
前提条件
攻撃ベクトル レポートを作成するには、管理または Security Analyst ユーザーとして、データを生成する OT ネットワーク センサーにアクセスできる必要があります。
詳細については、「Defender for IoT を使用した OT 監視用のオンプレミス ユーザーとロール」を参照してください。
攻撃ベクトル シミュレーションを生成する
結果のレポートを表示できるように、攻撃ベクトル シミュレーションを生成します。
攻撃ベクトル シミュレーションを生成するには:
センサー コンソールにサインインし、左側の [攻撃ベクトル ] を選択します。
[ シミュレーションの追加] を選択し、次の値を入力します。
プロパティ 説明 名前 シミュレーション名 最大ベクトル シミュレーションに含める攻撃ベクトルの最大数。 デバイス マップに表示 [ デバイス マップ] で攻撃ベクトルをグループとして表示する場合に選択します。 すべてのソース デバイスを表示する すべてのデバイスを攻撃ソースとして考える場合に選択します。 攻撃ソース [すべてのソース デバイスの表示] オプションがオフになっている場合にのみ表示され、必須です。 攻撃ソースとして考慮する 1 つ以上のデバイスを選択します。 すべてのターゲット デバイスを表示する すべてのデバイスを可能な攻撃ターゲットとして考慮する場合に選択します。 攻撃対象 [すべてのターゲット デバイスの表示] オプションがオフになっている場合にのみ表示され、必須です。 攻撃対象として考慮するデバイスを 1 つ以上選択します。 デバイスを除外する 攻撃ベクトル シミュレーションから除外する 1 つ以上のデバイスを選択します。 サブネットを除外する 攻撃ベクトル シミュレーションから除外するサブネットを 1 つ以上選択します。 [保存] を選択します。 シミュレーションがリストに追加され、攻撃パスの数がかっこで示されます。
シミュレーションを展開して、考えられる攻撃ベクトルの一覧を表示し、1 つを選択して右側に詳細を表示します。
例:
デバイス マップで攻撃ベクトルを表示する
デバイス マップは、攻撃ベクトル レポートで検出された脆弱なデバイスをグラフィカルに表示します。 デバイス マップで攻撃ベクトルを表示するには:
[ 攻撃ベクター ] ページで、シミュレーション で [デバイス マップに表示 ] がオンになっていることを確認します。
サイド メニューから [ デバイス マップ ] を選択します。
シミュレーションを選択し、攻撃ベクトルを選択して、マップ内のデバイスを視覚化します。
例:
詳細については、「 デバイス マップでのセンサー検出の調査」を参照してください。
次の手順
Azureセキュリティに関する推奨事項を使用してセキュリティ体制を強化します。
Azure portalのクラウドに接続されたセンサーに基づいて、追加のレポートを表示します。 詳細については、「Azure Monitor ブックを使用して IoT データのMicrosoft Defenderを視覚化する」を参照してください。
OT センサーからのより多くのセキュリティ データについては、引き続き他のレポートを作成します。 詳細については、以下を参照してください: