この記事では、OT 監視用の Defender for IoT を展開するために必要な大まかな手順について説明します。 詳細については、関連する相互参照を含む、以下のセクションの各デプロイ 手順について説明します。
次の図は、エンド ツー エンドの OT 監視デプロイ パスのフェーズと、各フェーズを担当するチームを示しています。
チームと役職は組織によって異なりますが、すべての Defender for IoT デプロイでは、ネットワークとインフラストラクチャのさまざまな領域を担当するユーザー間の通信が必要です。
ヒント
プロセスの各ステップには、異なる時間がかかる場合があります。 たとえば、OT センサーのアクティブ化ファイルのダウンロードには 5 分かかる場合があり、トラフィック監視の構成には、organizationのプロセスによっては数日から数週間かかる場合があります。
次の手順に進む前に、各ステップのプロセスを完了するまで待たずに開始することをお勧めします。 完了を確実にするために、まだ処理中の手順を続行してください。
前提条件
OT 監視デプロイの計画を開始する前に、Azure サブスクリプションと OT プランが Defender for IoT にオンボードされていることを確認してください。
詳細については、「IoT 試用版のMicrosoft Defenderを開始する」を参照してください。
計画と準備
次の図は、計画と準備フェーズに含まれる手順を示しています。 手順の計画と準備は、アーキテクチャ チームによって処理されます。
OT 監視システムを計画する
次のような監視システムに関する基本的な詳細を計画します。
サイトとゾーン: 世界中の場所を表すことができる サイト と ゾーン を使用して、監視するネットワークをセグメント化する方法を決定します。
センサー管理: クラウド接続またはエアギャップ、ローカル管理 OT センサー、またはその両方のハイブリッド システムのどちらを使用するかを決定します。 クラウド接続センサーを使用している場合は、直接接続やプロキシ経由などの接続方法を選択します。
ユーザーとロール: 各センサーに必要なユーザーの種類と、各アクティビティに必要なロールの一覧。
詳細については、「 Defender for IoT を使用して OT 監視システムを計画する」を参照してください。
OT サイトの展開の準備
システムで計画されている各サイトについて、次のような追加の詳細を定義します。
ネットワークダイアグラム。 監視するすべてのデバイスを特定し、サブネットの明確に定義された一覧を作成します。 センサーをデプロイしたら、この一覧を使用して、監視するすべてのサブネットが Defender for IoT でカバーされていることを確認します。
センサーの一覧: 監視するトラフィック、サブネット、デバイスの一覧を使用して、必要な OT センサーの一覧と、ネットワーク内のどこに配置するかを作成します。
トラフィック ミラーリング方法: SPAN ポートや TAP など、OT センサーごとにトラフィック ミラーリング方法を選択します。
アプライアンス: デプロイ ワークステーションと、計画した各 OT センサーに使用するハードウェアまたは VM アプライアンスを準備します。 事前構成済みのアプライアンスを使用している場合は、必ず注文してください。
詳細については、「 OT サイトの展開を準備する」を参照してください。
センサーをAzureにオンボードする
次の図は、オンボード センサー フェーズに含まれる手順を示しています。 センサーは、デプロイ チームによってAzureにオンボードされます。
Azure portalでの OT センサーのオンボード
計画した数の OT センサーを Defender for IoT にオンボードします。 各 OT センサーに用意されているライセンス認証ファイルをダウンロードし、センサー マシンからアクセスできる場所に保存してください。
詳細については、「 Defender for IoT への OT センサーのオンボード」を参照してください。
サイト ネットワークのセットアップ
次の図は、サイト ネットワークのセットアップ フレーズに含まれる手順を示しています。 サイト ネットワークの手順は、接続チームによって処理されます。
ネットワークでトラフィック ミラーリングを構成する
前に作成したプランを使用して、OT センサーを展開し、トラフィックを Defender for IoT にミラーリングするネットワーク内の場所でトラフィック ミラーリングを構成します。
OT センサーに最適な場所を選択し、ネットワークに展開するために必要な情報の簡単な概要については、 トラフィック ミラーリングのセットアップの概要に関するページを参照してください。
詳細については、以下を参照してください:
- スイッチ SPAN ポートを使用してミラーリングを構成する
- リモート SPAN (RSPAN) ポートを使用してトラフィック ミラーリングを構成する
- アクティブまたはパッシブ集計を構成する (TAP)
- センサーの監視インターフェイスを更新する (ERSPAN を構成する)
- ESXi vSwitch を使用してトラフィック ミラーリングを構成する
- Hyper-V vSwitch を使用してトラフィック ミラーリングを構成する
クラウド管理のプロビジョニング
OT センサー アプライアンスがAzure クラウド上の Defender for IoT にアクセスできるようにファイアウォール規則を構成します。 プロキシ経由で接続する予定の場合は、センサーをインストールした後にのみ、これらの設定を構成します。
エアギャップされ、センサー コンソールで直接ローカルに管理される予定の OT センサーについては、この手順をスキップします。
詳細については、「 クラウド管理のための OT センサーのプロビジョニング」を参照してください。
OT センサーをデプロイする
次の図は、センサーの展開フェーズに含まれる手順を示しています。 OT センサーはデプロイ チームによってデプロイされ、アクティブ化されます。
OT センサーをインストールする
Defender for IoT ソフトウェアを自分のアプライアンスにインストールする場合は、Azure portalからインストール ソフトウェアをダウンロードし、OT センサー アプライアンスにインストールします。
OT センサー ソフトウェアをインストールした後、いくつかのチェックを実行して、インストールと構成を検証します。
詳細については、以下を参照してください:
事前構成済みのアプライアンスを購入する場合は、次の手順をスキップします。
OT センサーをアクティブ化し、初期セットアップを行う
初期セットアップ ウィザードを使用して、ネットワーク設定の確認、センサーのアクティブ化、SSH/TLS 証明書の適用を行います。
詳細については、「 OT センサーの構成とアクティブ化」を参照してください。
プロキシ接続を構成する
プロキシを使用してセンサーをクラウドに接続することにした場合は、プロキシを設定し、センサーの設定を構成します。 詳細については、「 OT センサーでプロキシ設定を構成する」を参照してください。
次の状況では、この手順をスキップします。
- プロキシなしでAzureに直接接続している OT センサーの場合
- エアギャップされ、センサー コンソールでローカルに直接管理される予定のセンサーの場合。
省略可能な設定を構成する
OT センサーでオンプレミス ユーザーを管理するための Active Directory 接続を構成し、SNMP を使用してセンサーの正常性監視を設定することをお勧めします。
デプロイ中にこれらの設定を構成しない場合は、後でこれらの設定を返して構成することもできます。
詳細については、以下を参照してください:
OT 監視の調整と微調整
次の図は、新しくデプロイされたセンサーを使用した OT 監視の調整と微調整に関連する手順を示しています。 調整と微調整のアクティビティは、デプロイ チームによって行われます。
センサーの OT 監視を制御する
既定では、OT センサーでは、監視する正確なネットワークが検出されない場合や、表示する方法で正確に識別できない場合があります。 前に 作成したリストを 使用して、サブネットを確認して手動で構成し、ポートと VLAN の名前をカスタマイズし、必要に応じて DHCP アドレス範囲を構成します。
詳細については、「Microsoft Defender for IoT によって監視される OT トラフィックを制御する」を参照してください。
検出されたデバイス インベントリを確認して更新する
デバイスが完全に検出されたら、デバイス インベントリを確認し、必要に応じてデバイスの詳細を変更します。 たとえば、変更するデバイスの種類やその他のプロパティなどを特定できます。
詳細については、「 検出されたデバイス インベントリを確認して更新する」を参照してください。
ネットワーク ベースラインを作成するための OT アラートについて説明します
OT センサーによってトリガーされるアラートには、承認されたトラフィックとして定期的に無視するアラート ( Learn) が含まれる場合があります。
システム内のすべてのアラートを初期トリアージとして確認します。 この手順では、Defender for IoT が今後の作業を行うネットワーク トラフィック ベースラインを作成します。
詳細については、「 OT アラートの学習されたベースラインを作成する」を参照してください。
ベースライン学習の終了
OT センサーは、新しいトラフィックが検出され、未処理のアラートがある限り 、学習モード のままです。
ベースライン学習が終了すると、OT 監視デプロイ プロセスが完了し、継続的な監視のために運用モードで続行します。 運用モードでは、ベースライン データとは異なるアクティビティによってアラートがトリガーされます。
ヒント
Defender for IoT の現在のアラートにネットワーク トラフィックが正確に反映されている場合は、学習モードを手動でオフにします。
Defender for IoT データを SIEM に接続する
Defender for IoT がデプロイされたら、Defender for IoT とセキュリティ情報とイベント管理 (SIEM) プラットフォームと既存の SOC ワークフローとツールを統合することで、セキュリティ アラートを送信し、OT/IoT インシデントを管理します。 Defender for IoT アラートを組織の SIEM と統合するには、Microsoft Sentinelと統合し、すぐに使用できる IoT ソリューションのMicrosoft Defenderを利用するか、他の SIEM システムへの転送ルールを作成します。 Defender for IoT は、Microsoft Sentinelだけでなく、Splunk、IBM QRadar、LogRhythm、Fortinet などの広範な SIEM システムと統合されています。
OT センサーに最適な場所を選択し、ネットワークに展開するために必要な情報の簡単な概要については、 トラフィック ミラーリングのセットアップの概要に関するページを参照してください。
詳細については、以下を参照してください:
- エンタープライズ SOC での OT 脅威の監視
- チュートリアル: Microsoft Sentinelを使用して IoT 用のMicrosoft Defenderを接続する
- オンプレミスの OT ネットワーク センサーを Microsoft Sentinel に接続する
- Microsoft およびパートナー サービスとの統合
- パートナー SIEM への Defender for IoT クラウド アラートのStream
Defender for IoT アラートを SIEM と統合した後、OT/IoT アラートを運用化し、既存の SOC ワークフローとツールと完全に統合するには、次の手順をお勧めします。
特定の OT のニーズと環境に基づいて監視する、関連する IoT/OT セキュリティの脅威と SOC インシデントを特定して定義します。
SIEM で検出ルールと重大度レベルを作成します。 関連するインシデントのみがトリガーされるため、不要なノイズが削減されます。 たとえば、この特定のアラートの忠実度が高いため、承認されていないデバイスから実行される PLC コードの変更や勤務時間外の変更を重大度の高いインシデントとして定義します。
Microsoft Sentinelでは、IoT ソリューションのMicrosoft Defenderには、Defender for IoT データ専用に構築された一連のすぐに使用できる検出ルールが含まれており、Sentinelで作成されたインシデントを微調整するのに役立ちます。
軽減策の適切なワークフローを定義し、ユース ケースごとに自動調査プレイブックを作成します。 Microsoft Sentinelでは、IoT ソリューションのMicrosoft Defenderには、Defender for IoT アラートへの自動応答用のすぐに使用できるプレイブックが含まれています。
次の手順
OT 監視システムの展開手順を理解したら、作業を開始する準備ができました。