OT センサーの構成とアクティブ化

この記事は、IoT 用のMicrosoft Defenderを使用した OT 監視の展開パスを説明する一連の記事の 1 つであり、初期セットアップ設定を構成し、OT センサーをアクティブにする方法について説明します。

[センサーのデプロイ] が強調表示されている進行状況バーの図。

いくつかの初期セットアップ手順は、ブラウザーまたは CLI を使用して実行できます。

  • スイッチからセンサーに物理ケーブルを接続してインターフェイスを正しく識別できる場合は、ブラウザーを使用します。 センサーの既定の設定と一致するようにネットワーク アダプターを再構成してください。
  • 物理ケーブルを接続しなくてもネットワークの詳細がわかっている場合は、CLI を使用します。 iLo/iDrac 経由でのみセンサーに接続できる場合は、CLI を使用します

CLI を使用してセットアップを構成する場合でも、ブラウザーで最後のいくつかの手順を完了する必要があります。

前提条件

この記事の手順を実行するには、次のものが必要です。

  • Azure portalで Defender for IoT にオンボードされた OT センサー。

  • アプライアンスにインストールされている OT センサー ソフトウェア。 自分でソフトウェアをインストールしているか、構成済みのアプライアンスを購入していることを確認します。

  • センサーのアクティブ化ファイル。 センサーのオンボード後にダウンロードされました。 デプロイする OT センサーごとに一意のアクティブ化ファイルが必要です。

    Azure portalからダウンロードされたすべてのファイルは、マシンが署名済み資産のみを使用するように、信頼のルートによって署名されます。

    注:

    アクティブ化ファイルの有効期限は、作成から 14 日後です。 センサーをオンボードしたが、有効期限が切れる前にアクティブ化ファイルをアップロードしなかった場合は、 新しいアクティブ化ファイルをダウンロードします。

  • SSL/TLS 証明書。 自己署名証明書ではなく、CA 署名付き証明書を使用することをお勧めします。 詳細については、「 OT アプライアンスの SSL/TLS 証明書を作成する」を参照してください。

  • センサーをインストールする物理または仮想アプライアンスにアクセスします。 詳細については、「必要なアプライアンス」を参照してください。

この手順は、デプロイ チームによって実行されます。

ブラウザーを使用してセットアップを構成する

ブラウザーを使用してセンサーのセットアップを構成するには、次の手順を実行します。

  • センサー コンソールにサインインし、 管理者 ユーザー パスワードを変更する
  • センサーのネットワークの詳細を定義する
  • 監視するインターフェイスの定義
  • センサーのアクティブ化
  • SSL/TLS 証明書の設定の構成

センサー コンソールにサインインし、既定のパスワードを変更する

この手順では、OT センサー コンソールに初めてサインインする方法について説明します。 管理者ユーザーの既定のパスワードを変更するように求められます。

センサーにサインインするには:

  1. ブラウザーで、 192.168.0.101 IP アドレスに移動します。これは、インストールの最後にセンサーに提供される既定の IP アドレスです。

    最初のサインイン ページが表示されます。 例:

    初期センサー サインイン ページのスクリーンショット。

  2. 次の資格情報を入力し、[ ログイン] を選択します。

    • ユーザー名: admin
    • パスワード: admin

    管理者ユーザーの新しいパスワードを定義するように求められます。

  3. [ 新しいパスワード ] フィールドに、新しいパスワードを入力します。 パスワードには、小文字と大文字のアルファベット、数字、および記号を含める必要があります。

    [ 新しいパスワードの確認 ] フィールドに新しいパスワードをもう一度入力し、[ 開始] を選択します。

    詳細については、「 既定の特権ユーザー」を参照してください。

Defender for IoT |[概要] ページが開き、[管理インターフェイス] タブが開きます。

センサー ネットワークの詳細を定義する

[ 管理インターフェイス ] タブで、次のフィールドを使用して、新しいセンサーのネットワークの詳細を定義します。

名前 説明
管理インターフェイス 管理インターフェイスとして使用するインターフェイスを選択して、Azure portalに接続します。

マシン上の物理インターフェイスを識別するには、インターフェイスを選択し、[ 物理インターフェイス LED の点滅] を選択します。 選択したインターフェイスに一致するポートが点灯し、ケーブルを正しく接続できます。
IP アドレス センサーに使用する IP アドレスを入力します。 これは、チームがブラウザーまたは CLI を介してセンサーに接続するために使用する IP アドレスです。
サブネット マスク センサーのサブネット マスクとして使用するアドレスを入力します。
既定のゲートウェイ センサーの既定のゲートウェイとして使用するアドレスを入力します。
DNS センサーの DNS サーバー IP アドレスを入力します。
Hostname センサーに割り当てるホスト名を入力します。 DNS サーバーで定義されているホスト名と同じホスト名を使用していることを確認します。
クラウド接続のプロキシを有効にする (省略可能) センサーのプロキシ サーバーを定義する場合に選択します。

SSL/TSL 証明書を使用してプロキシ サーバーにアクセスする場合は、[ クライアント証明書 ] を選択して証明書をアップロードします。

完了したら、[ 次へ: インターフェイスの構成 ] を選択して続行します。

監視するインターフェイスを定義する

[ インターフェイス構成] タブには、 センサーによって既定で検出されたすべてのインターフェイスが表示されます。 このタブを使用して、インターフェイスごとに監視をオンまたはオフにするか、インターフェイスごとに特定の設定を定義します。

ヒント

アクティブに使用されているインターフェイスのみを監視するように設定を構成して、センサーのパフォーマンスを最適化することをお勧めします。

[ インターフェイスの構成 ] タブで、監視対象のインターフェイスの設定を構成するには、次の操作を行います。

  1. センサーで監視するインターフェイスの [有効/無効] トグルを選択します。 続行するには、少なくとも 1 つのインターフェイスを選択する必要があります。

    使用するインターフェイスがわからない場合は、[ Blink 物理インターフェイス LED ] ボタンを選択して、選択したポートをマシンで点滅させます。 スイッチに接続したインターフェイスのいずれかを選択します。

  2. (省略可能)監視するインターフェイスごとに、[][詳細設定] ボタンを選択して、次のいずれかの設定を変更します。

    名前 説明
    Mode 次のいずれかを選択します。
    - SPAN トラフィック (カプセル化なし) を使用して、既定の SPAN ポート ミラーリングを使用します。
    - ERSPAN ミラーリングを使用している場合は、ERSPAN。

    詳細については、「 OT センサーのトラフィック ミラーリング方法を選択する」を参照してください。
    説明 インターフェイスの説明 (省略可能) を入力します。 これについては、センサーの [システム設定] > [インターフェイスの構成 ] ページで後で確認できます。これらの説明は、各インターフェイスの目的を理解するのに役立つ場合があります。
    自動ネゴシエーション 物理マシンにのみ関連します。 このオプションを使用して、使用される通信方法の種類、またはコンポーネント間で通信方法が自動的に定義されるかどうかを判断します。

    重要: この設定は、ネットワーク チームのアドバイスに基づいてのみ変更することをお勧めします。

    インターフェイスに ERSPAN トンネリングを追加するには:

    1. [ モード ] オプションで、ドロップダウン リストから [ トンネリング ] を選択します。

    2. トンネルを構成するには、次の OT センサーの詳細を更新します。

      • 説明 (省略可能)。
      • インターフェイス IP
      • サブネット

    例:

    OT センサー設定で ERSPAN 設定を構成する方法のスクリーンショット。

  3. [保存] を選択し、変更内容を保存します。

  4. [ 次へ: 再起動] > を選択して続行し、[ 再起動を開始 ] を選択してセンサー コンピューターを再起動します。 センサーが再び起動すると、前にセンサー IP アドレス として定義した IP アドレスに自動的にリダイレクトされます。

    [ キャンセル] を 選択して再起動を待機します。

OT センサーをアクティブ化する

この手順では、新しい OT センサーをアクティブにする方法について説明します。

これまで CLI を使用して初期設定を 構成していた場合は、この手順でブラウザー ベースの構成を開始します。 センサーの再起動後、同じ Defender for IoT にリダイレクトされます 。 |[概要 ] ページの [ アクティブ化 ] タブに移動します。

センサーをアクティブにするには:

  1. [アクティブ化] タブで、[アップロード] を選択して、Azure portalからダウンロードしたセンサーのアクティブ化ファイルをアップロードします。
  2. [使用条件] オプションを選択し、[ アクティブ化] を選択します。
  3. [ 次へ: 証明書] を選択します

アクティブ化プロセス中にクラウドベースのセンサーとAzure portalの間に接続の問題があり、アクティブ化が失敗する場合は、[アクティブ化] ボタンの下にメッセージが表示されます。 接続の問題を解決するには、[ 詳細情報 ] を選択し、[ クラウド接続 ] ウィンドウが開きます。 このウィンドウには、問題の原因とそれを解決するための推奨事項が一覧表示されます。

問題を解決しなくても、[ 次へ: 証明書] を選択することで、次のステージに進むことができるようになります。

次のステージに移行する前に修正する必要がある唯一の接続の問題は、時間ドリフトが検出され、センサーがクラウドに同期されない場合です。 この場合、次のステージに進む前に、推奨事項で説明されているように、センサーを正しく同期する必要があります。

SSL/TLS 証明書の設定を定義する

[ 証明書 ] タブを使用して、OT センサーに SSL/TLS 証明書をデプロイします。 すべての運用環境で CA 署名付き証明書 を使用することをお勧めします。

SSL/TLS 証明書の設定を定義するには:

  1. [ 証明書 ] タブで、[ 信頼された CA 証明書のインポート (推奨)] を選択して、CA 署名付き証明書をデプロイします。

    証明書の名前と パスフレーズを入力し、[ アップロード ] を選択して秘密キー ファイル、証明書ファイル、およびオプションの証明書チェーン ファイルをアップロードします。

    ファイルをアップロードした後、ページを更新する必要がある場合があります。 詳細については、「 証明書のアップロード エラーのトラブルシューティング」を参照してください。

    詳細については、「 オンプレミス リソースの SSL/TLS 証明書要件 」および「 OT アプライアンス用の SSL/TLS 証明書を作成する」を参照してください。

    ヒント

    テスト環境で作業している場合は、インストール中にローカルで生成される自己署名証明書を使用することもできます。 自己署名証明書を使用する場合は、推奨事項に関する [確認 ] オプションを必ず選択してください。

    詳細については、「 SSL/TLS 証明書の管理」を参照してください。

  2. [ 完了] を選択 して初期セットアップを完了し、センサー コンソールを開きます。

CLI を使用してセットアップを構成する

CLI を使用して次の初期セットアップ設定を構成するには、次の手順に従います。

  • センサー コンソールにサインインし、新しい 管理者 ユーザー パスワードを設定する
  • センサーのネットワークの詳細を定義する
  • 監視するインターフェイスの定義

ブラウザーでの SSL/TLS 証明書設定のアクティブ化と構成に進みます。

注:

この記事の情報は、センサー バージョン 24.1.5 に適用されます。 以前のバージョンを実行している場合は、「 ERSPAN ミラーリングの構成」を参照してください。

CLI を使用して初期セットアップ設定を構成するには:

  1. インストール画面で、既定のネットワークの詳細が表示されたら、 Enter キーを押して続行します。

  2. D4Iot login プロンプトで、次の既定の資格情報でサインインします。

    • ユーザー名: admin
    • パスワード: admin

    パスワードを入力しても、パスワード文字は画面に表示されません。 必ず慎重に入力してください。

  3. プロンプトで、 管理者 ユーザーの新しいパスワードを入力します。 パスワードには、小文字と大文字のアルファベット、数字、および記号を含める必要があります。

    パスワードの確認を求められたら、新しいパスワードをもう一度入力します。 詳細については、「 既定の特権ユーザー」を参照してください。

  4. パスワードを変更すると、 Sensor Config ウィザードが自動的に開始されます。 手順 5 に進みます。

    以降の機会にログインする場合は、手順 4 に進みます。

  5. Sensor Config ウィザードを起動するには、プロンプトで「network reconfigure」と入力します。 cyberx ユーザーを使用している場合は、「 ERSPAN=1 python3 -m cyberx.config.configure」と入力します。

  6. Sensor Config画面には、インターフェイスの現在のセットアップが表示されます。 1 つのインターフェイスが管理インターフェイスとして設定されていることを確認します。 このウィザードでは、上下の矢印を使用して移動し、 SPACE バーを使用してオプションを選択します。 Enter キーを押して次の画面に進みます。

    次のように、構成するインターフェイスを選択します。

    [モニター インターフェイスの選択] 画面のスクリーンショット。

  7. Select type画面で、このインターフェイスの新しい構成の種類を選択します。

重要

接続されているインターフェイスのみを選択してください。

有効になっているが接続されていないインターフェイスを選択した場合、センサーには、Azure portalにトラフィック監視正常性通知が表示されません。 インストール後にさらに多くのトラフィック ソースを接続し、Defender for IoT で監視する場合は、 後で CLI を使用して追加できます。

インターフェイスは、 管理モニタートンネル 、または 未使用として設定できます。 インターフェイスを一時的な設定として [未使用] に設定するか、リセットするか、元のセットアップで間違いが発生した場合に設定できます。

  1. 管理インターフェイスを構成するには:

    1. インターフェイスを選択します。

    2. [ 管理] を選択します。

    3. センサーの IP アドレスDNS サーバー の IP アドレス、および既定の ゲートウェイ IP アドレスを入力します。

      インターフェイスの [管理] 画面のスクリーンショット。

    4. [ 戻る] を選択します。

  2. Monitor インターフェイスを構成するには:

    1. インターフェイスを選択します。
    2. [ モニター] を選択します。 センサー構成画面が更新されます。

  3. ERSPAN Tunnel インターフェイスを構成するには:

    1. [インターフェイス IP] を選択し、 IP とサブネットの詳細 追加します。

    2. [確認] を選択します。

    3. [トンネル] を選択し、名前、ソース IP、1 から 1023 の間に番号が付いた ID を追加します

      インターフェイストンネル画面のスクリーンショット。

    4. [確認] を選択します。

  4. インターフェイスを 未使用として構成するには:

    1. インターフェイスを選択します。
    2. 既存の状態を選択します。
    3. [ 未使用] を選択しますセンサー構成画面が更新されます。

  5. すべてのインターフェイスを構成したら、[保存] を選択 します

自動バックアップ フォルダーの場所

センサーによってバックアップ フォルダーが自動的に作成されます。 マウントされたバックアップの場所を変更するには、次の手順を実行する必要があります。

  1. 管理者ユーザーを使用してセンサーにログインします。
  2. CLI インターフェイスに次のコードを入力します。 system backup path し、パスの場所 (例: /opt/sensor/backup) を追加します。
  3. バックアップは自動的に実行され、最大 1 分かかる場合があります。

注:

初期セットアップ時に、ERSPAN 監視ポートのオプションはブラウザー ベースの手順でのみ使用できます。

CLI を使用してネットワークの詳細を定義し、ERSPAN 監視ポートを設定する場合は、後でセンサーの [設定] > [インターフェイス接続] ページで設定します。 詳細については、「 センサーの監視インターフェイスを更新する (ERSPAN を構成する)」を参照してください。

次の手順

« OT センサー ソフトウェアのインストールを検証する

OT センサーでプロキシ設定を構成する »

  • Last updated on