チュートリアル: 仮想 OT センサーのオンボードとアクティブ化

このチュートリアルでは、IoT 用のMicrosoft Defenderと独自の仮想マシンの試用版サブスクリプションを使用して、IoT OT センサー用のMicrosoft Defenderを設定する基本について説明します。

完全なエンドツーエンドのデプロイを行うには、手順に従ってシステムを計画および準備し、設定を完全に調整して微調整してください。 詳細については、「 OT 監視用の Defender for IoT のデプロイ」を参照してください。

注:

エンタープライズ IoT システムのセキュリティ監視を設定する場合は、「 Defender for Endpoint で Enterprise IoT セキュリティを有効にする」を参照してください。

このチュートリアルでは、以下を実行する方法について説明します。

  • センサー用の VM を作成する
  • 仮想センサーのオンボード
  • 仮想 SPAN ポートを構成する
  • クラウド管理のプロビジョニング
  • 仮想センサー用のソフトウェアをダウンロードする
  • 仮想センサー ソフトウェアをインストールする
  • 仮想センサーをアクティブ化する

前提条件

開始する前に、次の点を確認してください。

  • 完了したクイック スタート: Defender for IoT にAzure サブスクリプションを追加できるように、Defender for IoT の使用を開始します。

  • セキュリティ 管理、共同作成者、または所有者としてのAzure portalへのアクセス。 詳細については、「Defender for IoT を使用した OT および Enterprise IoT 監視のユーザー ロールをAzureする」を参照してください。

  • SPAN ポートを介したトラフィック監視をサポートするネットワーク スイッチがあることを確認します。 また、スイッチの SPAN ポートに接続された、監視するデバイスが少なくとも 1 つ必要です。

  • VMware、ESXi 5.5 以降、センサーにインストールされ、動作します。

  • VM で使用可能なハードウェア リソースを次に示します。

    デプロイの種類 企業 Enterprise SMB
    最大帯域幅 2.5 Gb/秒 800 Mb/秒 160 Mb/秒
    保護されたデバイスの最大数 12,000 10,000 800

  • 仮想アプライアンスを使用した OT 監視の理解。

  • センサー アプライアンスに使用する次のネットワーク パラメーターの詳細。

    • 管理ネットワーク IP アドレス
    • センサー サブネット マスク
    • アプライアンス ホスト名
    • DNS アドレス
    • 既定のゲートウェイ
    • すべての入力インターフェイス

センサー用の VM を作成する

この手順では、VMware ESXi を使用してセンサー用の VM を作成する方法について説明します。

Defender for IoT では、Hyper-V センサーや物理センサーの使用など、他のプロセスもサポートされています。 詳細については、「 Defender for IoT のインストール」を参照してください。

センサーの VM を作成するには:

  1. VMware がコンピューター上で実行されていることを確認します。

  2. ESXi にサインインし、関連する データストアを選択し、[ データストア ブラウザー] を選択します。

  3. イメージをアップロードし、[閉じる] を選択します。

  4. [Virtual Machines] に移動し、[VM の作成/登録] を選択します。

  5. [ 新しい仮想マシンの作成] を選択し、[ 次へ] を選択します。

  6. センサー名を追加し、次のオプションを定義します。

    • 互換性: <最新の ESXi バージョン>

    • ゲスト OS ファミリ: Linux

    • ゲスト OS バージョン: Debian

  7. [次へ] を選択します。

  8. 関連するデータストアを選択し、[ 次へ] を選択します。

  9. 必要な仕様に従って、仮想ハードウェア パラメーターを変更します。 詳細については、上記の 「前提条件」セクションの表を 参照してください。

これで、Defender for IoT ソフトウェアのインストール用に VM が準備されました。 Azure portalでセンサーをオンボードし、トラフィック ミラーリングを構成し、クラウド管理用にマシンをプロビジョニングした後、このチュートリアルの後半でソフトウェアをインストールします。

仮想センサーのオンボード

Defender for IoT センサーの使用を開始する前に、新しい仮想センサーをAzure サブスクリプションにオンボードする必要があります。

仮想センサーをオンボードするには:

  1. Azure portalで、[Defender for IoT >概要] ページに移動します。

  2. 左下にある [ OT/ICS セキュリティの設定] を選択します。

    または、[Defender for IoT サイトとセンサー ] ページで、[ オンボード OT センサー>OT] を選択します。

    既定では、[ OT/ICS セキュリティのセットアップ ] ページの [手順 1: センサーを設定しましたか? ウィザードの SPAN ポートまたは TAP の構成] は折りたたまれています。

    ソフトウェアをインストールし、デプロイ プロセスの後半でトラフィック ミラーリングを構成しますが、アプライアンスの準備とトラフィック ミラーリング方法を計画する必要があります。

  3. [手順 3: IoT のMicrosoft Defenderにこのセンサーを登録する] で、次の値を定義します。

    フィールド名 説明
    リソース名 センサーをアタッチするサイトを選択するか、[ サイトの作成 ] を選択して新しいサイトを作成します。

    新しいサイトを作成する場合:
    1. [ 新しいサイト ] フィールドにサイトの名前を入力し、チェックマーク ボタンを選択します。
    2. [ サイトのサイズ ] メニューから、サイトのサイズを選択します。 このメニューに表示されるサイズは、Microsoft 365 管理センターで購入したライセンスに基づいて、ライセンスが付与されているサイズです。
    表示名 Defender for IoT 全体に表示するサイトのわかりやすい名前を入力します。
    Tags タグ キーと値を入力して、Azure portalでサイトとセンサーを識別して見つけるのに役立ちます。
    Zone OT センサーに使用するゾーンを選択するか、[ ゾーンの作成 ] を選択して新しいゾーンを作成します。

    詳細については、「 OT サイトとゾーンの計画」を参照してください。

  4. 他のすべてのフィールドを使用したら、[ 登録 ] を選択して、センサーを Defender for IoT に追加します。 成功メッセージが表示され、アクティブ化ファイルが自動的にダウンロードされます。 アクティブ化ファイルはセンサーに固有であり、センサーの管理モードに関する手順が含まれています。

    Azure portalからダウンロードされたすべてのファイルは、マシンが署名済み資産のみを使用するように、信頼のルートによって署名されます。

  5. ダウンロードしたアクティブ化ファイルを、ユーザーが初めてコンソールにサインインしてセンサーをアクティブ化できる場所に保存します。

    [ センサーのアクティブ化 ] ボックスで関連するリンクを選択して、ファイルを手動でダウンロードすることもできます。 次 に説明するように、このファイルを使用してセンサーをアクティブにします。

  6. [ 送信許可ルールの追加 ] ボックスで、[ エンドポイントの詳細のダウンロード ] リンクを選択して、センサーからセキュリティで保護されたエンドポイントとして構成する必要があるエンドポイントの JSON リストをダウンロードします。

    ダウンロードしたファイルをローカルに保存します。 このチュートリアルの後半でダウンロードしたファイルに記載されているエンドポイントを使用して、新しいセンサーがAzureに正常に接続できることを確認します。

    ヒント

    [ サイトとセンサー ] ページから、必要なエンドポイントの一覧にアクセスすることもできます。 詳細については、Azure portalからのセンサー管理オプションに関するページを参照してください。

  7. ページの左下にある [完了] を選択 します。 [Defender for IoT サイトとセンサー] ページに新しい センサーが 表示されるようになりました。

    センサーをアクティブ化するまで、センサーの状態は [アクティブ化の保留中] と表示されます。

詳細については、「Azure portalで Defender for IoT を使用してセンサーを管理する」を参照してください。

SPAN ポートを構成する

仮想スイッチにはミラーリング機能がありません。 ただし、このチュートリアルでは、仮想スイッチ環境で 無差別モード を使用して、仮想スイッチを通過するすべてのネットワーク トラフィックを表示できます。

この手順では、VMware ESXi の回避策を使用して SPAN ポートを構成する方法について説明します。

注:

Promiscuous モードは、仮想スイッチと同じポート グループ レベルの VM のインターフェイスの動作モードとセキュリティ監視手法であり、スイッチのネットワーク トラフィックを表示します。 Promiscuous モードは既定では無効になっていますが、仮想スイッチまたはポート グループ レベルで定義できます。

ESXi v-Switch で Promiscuous モードで監視インターフェイスを構成するには:

  1. [vSwitch のプロパティ] ページを開き、[ 標準仮想スイッチの追加] を選択します。

  2. ネットワーク ラベルとして 「SPAN Network 」と入力します。

  3. [MTU] フィールドに「 4096」と入力します。

  4. [ セキュリティ] を選択し、 Promiscuous Mode ポリシーが [同意モード] に設定されていることを確認します。

  5. [ 追加] を 選択して、vSwitch プロパティを閉じます。

  6. 作成した vSwitch を強調表示し、[ アップリンクの追加] を選択します。

  7. SPAN トラフィックに使用する物理 NIC を選択し、MTU を 4096 に変更してから、[保存] を選択 します

  8. [ポート グループ] プロパティ ページを開き、[ポート グループの追加] を選択します。

  9. 名前として 「SPAN ポート グループ 」と入力し、VLAN ID として 「4095 」と入力し、[vSwitch] ドロップダウンで [ SPAN Network ] を選択し、[ 追加] を選択します。

  10. OT センサー VM のプロパティを開きます。

  11. [ネットワーク アダプター 2] で、SPAN ネットワークを選択します。

  12. [OK] を選択します。

  13. センサーに接続し、ミラーリングが機能することを確認します。

トラフィック ミラーリングを検証する

トラフィック ミラーリングを構成した後、スイッチ SPAN または ミラー ポートから、記録されたトラフィック (PCAP ファイル) のサンプルを受信しようとします。

サンプル PCAP ファイルを使用すると、次の場合に役立ちます。

  • スイッチの構成を検証する
  • スイッチを通過するトラフィックが監視に関連していることを確認する
  • 帯域幅と、スイッチによって検出されたデバイスの推定数を特定する

  1. Wiresharkなどのネットワーク プロトコル アナライザー アプリケーションを使用して、サンプル PCAP ファイルを数分間記録します。 たとえば、トラフィック監視を構成したポートにノート PC を接続します。

  2. ユニキャスト パケットが記録トラフィックに存在することを確認します。 ユニキャスト トラフィックは、アドレスから別のアドレスに送信されるトラフィックです。

    トラフィックの大部分が ARP メッセージの場合、トラフィック ミラーリングの構成は正しくありません。

  3. 分析されたトラフィックに OT プロトコルが存在することを確認します。

    例:

    Wireshark検証のスクリーンショット。

クラウド管理のプロビジョニング

このセクションでは、ファイアウォール規則で定義するようにエンドポイントを構成し、OT センサーがAzureに接続できるようにする方法について説明します。

詳細については、「センサーをAzureに接続する方法」を参照してください。

エンドポイントの詳細を構成するには:

前にダウンロードしたファイルを開き、必要なエンドポイントの一覧を表示します。 センサーがポート 443 経由で必要な各エンドポイントにアクセスできるようにファイアウォール規則を構成します。

ヒント

必要なエンドポイントの一覧は、Azure portalの [サイトとセンサー] ページからダウンロードすることもできます。 [サイトとセンサー] に移動します>その他のアクション>エンドポイントの詳細をダウンロードします。 詳細については、Azure portalからのセンサー管理オプションに関するページを参照してください。

詳細については、「 クラウド管理用にセンサーをプロビジョニングする」を参照してください。

仮想センサー用のソフトウェアをダウンロードする

このセクションでは、独自のコンピューターにセンサー ソフトウェアをダウンロードしてインストールする方法について説明します。

仮想センサーのソフトウェアをダウンロードするには:

  1. Azure portalで、[Defender for IoT >概要] ページに移動し、[センサー] タブを選択します。

  2. [アプライアンスを購入してソフトウェアをインストールする] ボックスで、最新の推奨ソフトウェア バージョンの既定のオプションが選択されていることを確認し、[ダウンロード] を選択します。

  3. ダウンロードしたソフトウェアを、VM からアクセスできる場所に保存します。

Azure portalからダウンロードされたすべてのファイルは、マシンが署名済み資産のみを使用するように、信頼のルートによって署名されます。

センサー ソフトウェアをインストールする

この手順では、VM にセンサー ソフトウェアをインストールする方法について説明します。

注:

このプロセスの終わりには、デバイスのユーザー名とパスワードが表示されます。 これらのパスワードは再び表示されないため、必ずコピーしてください。

仮想センサーにソフトウェアをインストールするには:

  1. VM を閉じた場合は、もう一度 ESXi にサインインし、VM 設定を開きます。

  2. CD/DVD ドライブ 1 の場合は、[データストア ISO ファイル] を選択し、前にダウンロードした Defender for IoT ソフトウェアを選択します。

  3. 次へ] [完了] の順に選択します。

  4. VM の電源を入れ、コンソールを開きます。

  5. インストールが起動すると、インストール プロセスを開始するように求められます。 [ Install iot-sensor-<version number> ] 項目を選択して続行するか、30 秒後に自動的に開始できるようにします。 例:

    初期インストール画面のスクリーンショット。

    注:

    従来の BIOS バージョンを使用している場合は、言語の選択を求めるメッセージが表示され、インストール オプションは中央ではなく左上に表示されます。 メッセージが表示されたら、[English] を選択し、[iot-sensor-<version number> のインストール] オプションを選択して続行します。

    インストールが開始され、更新されたステータス メッセージが表示されます。 インストール プロセス全体の所要時間は最大 20 から 30 分で、使用しているメディアの種類によって異なる場合があります。

    インストールが完了すると、次の既定のネットワークの詳細セットが表示されます。

    IP: 172.23.41.83,
SUBNET: 255.255.255.0,
GATEWAY: 172.23.41.1,
UID: 91F14D56-C1E4-966F-726F-006A527C61D

既定の IP アドレスを使用して、 初期セットアップとアクティブ化のためにセンサーにアクセスします。

インストール後の検証

この手順では、センサー独自のシステム正常性チェックを使用してインストールを検証する方法について説明します。既定の 管理者 ユーザーが使用できます。

インストールを検証するには:

  1. ユーザーとして OT センサーにサインインします。

  2. [システム設定>Sensor 管理>システム正常性チェック] を選択します

  3. 次のコマンドを選択します。

    • アプライアンスを使用して、システムが実行されていることをチェックします。 各行に [実行中 ] と表示されていること、および最後の行に システムが稼働中であることを示していることを確認します。
    • 正しいバージョン がインストールされていることを確認するバージョン。
    • ifconfig を使用して、インストール中に構成されたすべての入力インターフェイスが実行されていることを確認します。

ゲートウェイ、DNS、ファイアウォールのチェックなど、インストール後の検証テストの詳細については、「 OT センサー ソフトウェアのインストールを検証する」を参照してください。

初期セットアップを定義する

次の手順では、センサーの初期セットアップ設定を構成する方法について説明します。

  • センサー コンソールにサインインし、 管理者 ユーザー パスワードを変更する
  • センサーのネットワークの詳細を定義する
  • 監視するインターフェイスの定義
  • センサーのアクティブ化
  • SSL/TLS 証明書の設定の構成

センサー コンソールにサインインし、既定のパスワードを変更する

この手順では、OT センサー コンソールに初めてサインインする方法について説明します。 管理者ユーザーの既定のパスワードを変更するように求められます。

センサーにサインインするには:

  1. ブラウザーで、 192.168.0.101 IP アドレスに移動します。これは、インストールの最後にセンサーに提供される既定の IP アドレスです。

    最初のサインイン ページが表示されます。 例:

    初期センサー サインイン ページのスクリーンショット。

  2. 次の資格情報を入力し、[ ログイン] を選択します。

    • ユーザー名: support
    • パスワード: support

    管理者ユーザーの新しいパスワードを定義するように求められます。

  3. [ 新しいパスワード ] フィールドに、新しいパスワードを入力します。 パスワードには、小文字と大文字のアルファベット、数字、および記号を含める必要があります。

    [ 新しいパスワードの確認 ] フィールドに新しいパスワードをもう一度入力し、[ 開始] を選択します。

    詳細については、「 既定の特権ユーザー」を参照してください。

Defender for IoT |[概要] ページが開き、[管理インターフェイス] タブが開きます。

センサー ネットワークの詳細を定義する

[ 管理インターフェイス ] タブで、次のフィールドを使用して、新しいセンサーのネットワークの詳細を定義します。

名前 説明
管理インターフェイス 管理インターフェイスとして使用するインターフェイスを選択し、Azure portalに接続します。

マシン上の物理インターフェイスを識別するには、インターフェイスを選択し、[ 物理インターフェイス LED の点滅] を選択します。 選択したインターフェイスに一致するポートが点灯し、ケーブルを正しく接続できます。
IP アドレス センサーに使用する IP アドレスを入力します。 これは、チームがブラウザーまたは CLI を介してセンサーに接続するために使用する IP アドレスです。
サブネット マスク センサーのサブネット マスクとして使用するアドレスを入力します。
既定のゲートウェイ センサーの既定のゲートウェイとして使用するアドレスを入力します。
DNS センサーの DNS サーバー IP アドレスを入力します。
Hostname センサーに割り当てるホスト名を入力します。 DNS サーバーで定義されているホスト名と同じホスト名を使用していることを確認します。

このチュートリアルでは、「 クラウド接続のプロキシを有効にする (省略可能)」 領域のプロキシ構成をスキップします。

完了したら、[ 次へ: インターフェイスの構成 ] を選択して続行します。

監視するインターフェイスを定義する

[ インターフェイス接続 ] タブには、センサーによって既定で検出されたすべてのインターフェイスが表示されます。 このタブを使用して、インターフェイスごとに監視をオンまたはオフにするか、インターフェイスごとに特定の設定を定義します。

ヒント

アクティブに使用されているインターフェイスのみを監視するように設定を構成して、センサーのパフォーマンスを最適化することをお勧めします。

[ インターフェイスの構成 ] タブで、監視対象のインターフェイスの設定を構成するには、次の操作を行います。

  1. センサーで監視するインターフェイスの [有効/無効] トグルを選択します。 続行するには、少なくとも 1 つのインターフェイスを選択する必要があります。

    使用するインターフェイスがわからない場合は、[ Blink 物理インターフェイス LED ] ボタンを選択して、選択したポートをマシンで点滅させます。 スイッチに接続したインターフェイスのいずれかを選択します。

  2. このチュートリアルでは、詳細設定をスキップし、[ 次へ: 再起動] > 選択して続行します。

  3. メッセージが表示されたら、[ 再起動の開始 ] を選択してセンサー コンピューターを再起動します。 センサーが再び起動すると、前にセンサー IP アドレス として定義した IP アドレスに自動的にリダイレクトされます。

    [ キャンセル] を 選択して再起動を待機します。

OT センサーをアクティブ化する

この手順では、新しい OT センサーをアクティブにする方法について説明します。

センサーをアクティブにするには:

  1. [アクティブ化] タブで、[アップロード] を選択して、Azure portalからダウンロードしたセンサーのアクティブ化ファイルをアップロードします。

  2. [使用条件] オプションを選択し、[ 次へ: 証明書] を選択します。

SSL/TLS 証明書の設定を定義する

[ 証明書 ] タブを使用して、OT センサーに SSL/TLS 証明書をデプロイします。 すべての運用環境で CA 署名付き証明書 を使用することをお勧めしますが、このチュートリアルでは、自己署名証明書を使用することを選択します。

SSL/TLS 証明書の設定を定義するには:

  1. [ 証明書 ] タブで、[ ローカルで生成された自己署名証明書を使用する (推奨されていません)] を選択し、[ 確認 ] オプションを選択します。

    詳細については、「 オンプレミス リソースの SSL/TLS 証明書要件 」および「 OT アプライアンス用の SSL/TLS 証明書を作成する」を参照してください。

  2. [ 完了] を選択 して初期セットアップを完了し、センサー コンソールを開きます。

次の手順

OT 監視の完全な展開パス

  • Last updated on