この記事は、IoT 用のMicrosoft Defenderを使用した OT 監視のデプロイ パスを説明する一連の記事の 1 つであり、OT センサーで学習されたトラフィックのベースラインを作成する方法について説明します。
マルチステージ監視プロセスの概要
OT ネットワーク センサーは、ネットワークに接続して サインインした後、ネットワークの監視を自動的に開始します。 ネットワーク デバイスがデバイス インベントリに表示され始め、ネットワークで発生したセキュリティインシデントまたは運用インシデントに対して アラート がトリガーされます。
Defender for IoT では、ネットワークの通常のトラフィック動作を学習する 3 段階の監視プロセスが採用されています。 これらの 3 つのステージにより、不要なアラートを減らしながら正確な検出が保証されます。
監視ステージの概要
| モード | 用途 | アラートをトリガーする | 必要なユーザー アクション |
|---|---|---|---|
| Learning (学習) | 通常のネットワーク トラフィックのベースラインを構築する | マルウェア アラート、異常アラート、運用アラート、プロトコル違反アラート | 2 ~ 6 週間後、またはベースラインに正確なネットワーク アクティビティが反映されている場合は、手動でオフにする |
| Dynamic | ポリシー違反アラートを段階的に導入しながらベースラインを調整し、精度を確保し、アラート のノイズを減らします | ポリシー違反アラートが導入されました | 省略可能: 特定のシナリオ (POC 中など) の設定を調整する |
| 運用中 | 安定したベースラインですべてのネットワーク トラフィックを監視し、すべてのアラートをトリガーして偏差または疑わしいアクティビティを反映します | すべての種類のアラート | なし。 ベースラインが安定すると自動的に遷移する |
学習モード
最初に、センサーは 学習 モードで実行され、すべてのネットワーク トラフィックを監視し、すべての通常のトラフィック パターンのベースラインを構築します。 このベースラインには、ネットワーク内のすべてのデバイスとプロトコルと、デバイス間で発生する通常のファイル転送が含まれます。 このプロセスは通常、ネットワークのサイズと複雑さに応じて、2 週間から 6 週間かかります。 さらに、後で検出されたすべてのデバイスは、ネットワーク トラフィック ベースラインを確立するために 7 日間学習モードになります。
学習モードでは、センサーは、マルウェア、異常、運用アラートなどの関連するセキュリティ アラートをトリガーすることで、環境を監視および保護します。 ただし、ベースラインからの逸脱を示すポリシー違反アラートは、システムが学習モードになっている間はトリガーされません。
動的モード
検出プロセスとネットワーク トラフィックが安定したら、手動で学習モードをオフにする必要があります。 この時点で、センサーは動的モードに移行します。 動的モードでは、センサーは引き続きネットワークを監視し、ベースラインの検証と調整を行います。 センサーは、各アラート カテゴリとシナリオを個別に評価し、ベースラインが正確であることが確認されたときに動的に運用モードに変更します。 または、センサーがトラフィックの大幅な変更を検出した場合、特定のアラートまたはシナリオの学習モードが自動的に拡張される可能性があります。
動的モードでは、ポリシー違反アラートが徐々に導入され、アラート インベントリに表示されるようになります。
運用モード
センサーがベースラインが安定していることを識別し、完了すると、自動的に運用モードに移行し、すべてのネットワーク トラフィックを監視し、すべてのアラートの種類をトリガーします。
Learn アクションは、学習モードがオフになった後、シナリオが運用モードに移行し、特定の操作を承認されたアクティビティまたは期待されるアクティビティとしてマークする場合に関連します。 学習した後、同様のアクティビティは今後新しいアラートを生成しません。
アラートのレベルがネットワーク アクティビティを正確に反映している場合は、学習モードを手動でオフにします。
詳細については、「IoT アラートのMicrosoft Defender」を参照してください。
前提条件
この記事の手順は、Azure portalまたは OT センサーから実行できます。
開始する前に、次の点を確認してください。
OT センサーがインストールされ、構成され、アクティブ化され、検出されたトラフィックによってアラートがトリガーされます。
Security Analyst または 管理 ユーザーとして OT センサーにアクセスします。 詳細については、「 Defender for IoT を使用した OT 監視のオンプレミス ユーザーとロール」を参照してください。
アラートのトリアージ
デプロイの終了に向けてアラートをトリアージして、ネットワーク アクティビティの初期ベースラインを作成します。
OT センサーにサインインし、[アラート] ページ を 選択します。
並べ替えとグループ化のオプションを使用して、最も重要なアラートを最初に表示します。 各アラートを確認して状態を更新し、OT 承認トラフィックのアラートについて学習します。
詳細については、「 OT センサーでのアラートの表示と管理」を参照してください。
次の手順
学習モードがオフになり、 学習 モードから 操作 モードに移行した後は、次のいずれかの操作を続行します。
- Azure Monitor ブックを使用して IoT データのMicrosoft Defenderを視覚化する
- Azure portalからのアラートの表示と管理
- Azure portalからデバイス インベントリを管理する
Defender for IoT データをMicrosoft Sentinelと統合して、SOC チームのセキュリティ監視を統合します。 詳細については、以下を参照してください: