注:
この記事では、Azure portalの IoT のMicrosoft Defenderについて説明します。
統合された IT/OT エクスペリエンスを探しているMicrosoft Defenderのお客様は、Microsoft Defender ポータル (プレビュー) のドキュメントで IoT のMicrosoft Defenderに関するドキュメントを参照してください。
Defender for IoT 管理ポータルの詳細については、こちらをご覧ください。
モノのインターネット (IoT) では、運用テクノロジ (OT) と IoT ネットワークの両方を使用する数十億台の接続デバイスがサポートされています。 IoT/OT デバイスとネットワークは、多くの場合、特殊なプロトコルを使用して構築され、セキュリティよりも運用上の課題に優先順位を付ける可能性があります。
IoT/OT デバイスを従来のセキュリティ監視システムで保護できない場合、新しいイノベーションの各波によって、これらの IoT デバイスと OT ネットワーク全体でリスクと攻撃の可能性が高まります。
Microsoft Defender for IoT は、IoT および OT デバイス、脆弱性、脅威を特定するために特別に構築された統合セキュリティ ソリューションです。 Defender for IoT を使用して、セキュリティ エージェントが組み込まれていない可能性がある既存のデバイスを含め、IoT/OT 環境全体をセキュリティで保護します。
Defender for IoT は、エージェントレスのネットワーク層の監視を提供し、産業用機器とセキュリティ オペレーション センター (SOC) ツールの両方と統合します。
OT セキュリティのためのエージェントレス デバイス監視
IoT デバイスと OT デバイスにセキュリティ エージェントが埋め込まれていない場合は、パッチが適用されず、正しく構成されておらず、IT チームやセキュリティ チームには表示されない可能性があります。 監視されていないデバイスは、企業ネットワークをさらに深くピボットしようとしている脅威アクターのソフト ターゲットになる可能性があります。
Defender for IoT では、エージェントレス監視を使用して、ネットワーク全体の可視性とセキュリティを提供し、特殊なプロトコル、デバイス、またはマシン間 (M2M) の動作を識別します。
ネットワーク内の IoT/OT デバイス、その詳細、および通信方法を確認します。 ネットワーク センサー、Microsoft Defender for Endpoint、およびサード パーティのソースからデータを収集します。
機械学習、脅威インテリジェンス、行動分析を使用してリスクを評価し、脆弱性を管理します。 例:
パッチが適用されていないデバイス、開いているポート、未承認のアプリケーション、未承認の接続、デバイス構成の変更、PLC コード、ファームウェアなどを特定します。
関連するすべてのディメンションとプロトコルにわたって、履歴トラフィックで検索を実行します。 完全に忠実な PCAP にアクセスして、さらにドリルダウンします。
ゼロデイ マルウェア、ファイルレス マルウェア、リビング オフザランド戦術など、侵害 (IOC) の静的インジケーターによって見逃した可能性のある高度な脅威を検出します。
Microsoft Sentinel、その他のパートナー システム、API などの Microsoft サービスと統合することで、脅威に対応します。 セキュリティ情報とイベント管理 (SIEM) サービス、セキュリティ操作と応答 (SOAR) サービス、拡張検出と応答 (XDR) サービスなどと統合します。
Azure portalでの Defender for IoT の一元化されたユーザー エクスペリエンスにより、セキュリティと OT 監視チームは、デバイスの場所に関係なく、すべての IT、IoT、OT デバイスを視覚化してセキュリティで保護できます。
クラウド、オンプレミス、ハイブリッド OT ネットワークのサポート
OT 環境全体のデバイスを検出するために、ネットワーク内の戦略的な場所に OT ネットワーク センサーをオンプレミスにインストールします。 次に、次のいずれかの構成を使用して、デバイスとセキュリティ値を表示します。
クラウド サービス:
OT ネットワーク センサーには、検出されたデバイスに関する詳細とセキュリティ データを表示する独自の UI コンソールが用意されていますが、センサーを Azure に接続してクラウドへの移行を拡張します。
Azure portalから、接続されているすべてのセンサーのデータを中央の場所に表示し、Microsoft Sentinelなどの他の Microsoft サービスと統合します。
エアギャップサービスとオンプレミスサービス:
エアギャップ環境があり、すべての OT ネットワーク データを完全にオンプレミスに保持する場合は、一元的な可視性と制御のために UI または CLI コマンドを使用して OT ネットワーク センサーを OT センサー コンソールに接続します。
引き続き、各センサー コンソールで詳細なデバイス データとセキュリティ値を表示します。
ハイブリッド サービス:
クラウドにデータを配信できるハイブリッド ネットワーク要件があり、他のデータはオンプレミスのままである必要があります。
この場合は、ニーズに合わせて柔軟でスケーラブルな構成でシステムを設定します。 一部の OT センサーをクラウドに接続し、Azure portalでデータを表示し、他のセンサーをオンプレミスでのみ管理します。
詳細については、「 OT システム監視のシステム アーキテクチャ」を参照してください。
エンタープライズ IoT ネットワークを保護する
Microsoft Defender for Endpointでエンタープライズ IoT セキュリティを使用して、OT 環境以外の Defender for IoT のエージェントレス セキュリティ機能をエンタープライズ IoT デバイスに拡張し、Microsoft Defender XDRで IoT デバイスに関連するアラート、脆弱性、推奨事項を表示します。
エンタープライズ IoT デバイスには、プリンター、スマート テレビ、会議システムなどのデバイスと、専用の専用デバイスを含めることができます。
詳細については、「 エンタープライズでの IoT デバイスのセキュリティ保護」を参照してください。
サポートされているサービス リージョン
Defender for IoT は、ヨーロッパのすべてのリージョンから 西ヨーロッパ リージョンのデータセンターにすべてのトラフィックをルーティングします。 残りのすべてのリージョンから 米国東部 リージョンのデータセンターにトラフィックをルーティングします。