この記事は、IoT 用のMicrosoft Defenderを使用した Operational Technology (OT) 監視の展開パスを説明する一連の記事の 1 つで、デバイス インベントリを確認し、微調整されたデバイスの詳細を使用してセキュリティ監視を強化する方法について説明します。
前提条件
この記事の手順を実行する前に、次の項目があることを確認してください。
OT センサー がインストールされ、 構成され、アクティブ化され、デバイス データが検出されました。
Security Analyst または 管理 ユーザーとして OT センサーにアクセスします。 詳細については、「 Defender for IoT を使用した OT 監視のオンプレミス ユーザーとロール」を参照してください。
この手順は、デプロイ チームによって実行されます。
OT センサーでデバイス インベントリを表示する
OT センサーにサインインし、[ デバイス インベントリ ] ページを選択します。
[ 列の編集] を選択してグリッド レイアウトを変更し、デバイスごとに検出されたデータを確認するためのデータ フィールドをさらに表示します。
特に、 名前、 型、 承認、 スキャナー デバイス、 およびプログラミング デバイス 列のデータを確認することをお勧めします。
デバイス インベントリに一覧表示されているデバイスを確認し、デバイスのプロパティを編集する必要があるデバイスを特定します。
デバイスごとのデバイス プロパティの編集
デバイスのプロパティを編集する必要があるデバイスごとに、次の手順を実行します。
グリッドでデバイスを選択し、[ 編集 ] を選択して編集ウィンドウを表示します。 例:
必要に応じて、次のいずれかのデバイス プロパティを編集します。
名前 説明 承認されたデバイス デバイスがネットワーク上の既知のエンティティであるかどうかを選択します。 Defender for IoT では、承認されたデバイスで学習されたトラフィックに対するアラートはトリガーされません。 名前 既定では、デバイスの IP アドレスとして表示されます。 これを、必要に応じてデバイスのわかりやすい名前に更新します。 説明 既定では空白のままにします。 必要に応じて、デバイスのわかりやすい説明を入力します。 OS プラットフォーム オペレーティング システムの値が検出のためにブロックされている場合は、ドロップダウン リストからデバイスのオペレーティング システムを選択します。 Type デバイスの種類が検出のためにブロックされているか、変更する必要がある場合は、ドロップダウン リストからデバイスの種類を選択します。 詳細については、「 サポートされているデバイス」を参照してください。 Purdue レベル デバイスの Purdue レベルが Undefined または Automatic として検出された場合は、別のレベルを選択してデータを微調整することをお勧めします。 詳細については、「 ネットワークへの OT センサーの配置」を参照してください。 スキャナー デバイスがスキャン デバイスかどうかを選択します。 Defender for IoT では、スキャン デバイスとして定義されているデバイスで検出されたスキャン アクティビティのアラートはトリガーされません。 プログラミング デバイス デバイスがプログラミング デバイスであるかどうかを選択します。 Defender for IoT では、プログラミング デバイスとして定義されているデバイスで検出されたプログラミング アクティビティに関するアラートはトリガーされません。 [保存] を選択し、変更内容を保存します。
デバイス データの拡張 (省略可能)
検出された既定のデータよりも詳細な情報を使用して、デバイスの可視性を高め、デバイス データを強化したい場合があります。
Windows ベースのデバイスに対するデバイスの可視性を高めるために、Defender for IoT Windows Management Instrumentation (WMI) ツールを使用します。
organizationのネットワーク ポリシーで一部のデータが取り込まれるのを防ぐ場合は、追加のデータを一括でインポートします。