Azure portal から OT センサー設定を構成する (パブリック プレビュー)

新しい OT ネットワーク センサーを Microsoft Defender for IoT にオンボードした後、ローカル ユーザーの追加など、OT センサー コンソールでいくつかの設定を直接定義できます。

この記事に記載されている OT センサー設定は、Azure portal から直接利用することもできます。 Azure portal を使用して、クラウドに接続された複数の OT センサーに対して、または特定のサイトまたはゾーン内のすべてのクラウド接続 OT センサーに対して、これらの設定を一括で適用します。 この記事では、Azure portal から OT ネットワーク センサーの設定を表示および構成する方法について説明します。

前提条件

OT センサーの設定を定義するには、次が用意されていることを確認します。

• Defender for IoT にオンボードされた Azureサブスクリプション。 必要に応じて、無料アカウントにサインアップし、「クイックスタート: Defender for IoT の使用を開始する」を使用して試用版を開始します。

• アクセス許可:

  • 他のユーザーが定義した設定を表示するには、サブスクリプションのセキュリティ閲覧者、セキュリティ管理者、共同作成者、または所有者のロールでサインインします。

  • 設定を定義または更新するには、セキュリティ管理者、共同作成者、または所有者のロールでサインインします。

  詳細については、「Defender for IoT の Azure ユーザー ロールとアクセス許可」を参照してください。

• クラウドに接続された 1 つ以上の OT ネットワーク センサー。 詳細については、「Defender for IoT に OT センサーをオンボードする」を参照してください。

新しいセンサー設定を定義する

1 つ以上の OT ネットワーク センサーに対して特定の構成を定義する場合は常に、新しい設定を定義します。 たとえば、特定のサイトまたはゾーン内のすべての OT センサーに対して帯域幅上限を定義する場合や、ネットワーク内の特定の場所にある 1 つの OT センサーに対して定義する場合があります。

新しい設定を定義するには、次のようにします。

1. Azure portal の Defender for IoT で、[サイトとセンサー] > [Sensor settings (Preview)] (センサー設定 (プレビュー)) を選びます。

2. [Sensor settings (Preview)] ( センサー設定 (プレビュー)) ページで、[+ 追加] を選択し、ウィザードを使用して設定の次の値を定義します。 ウィザードの各タブが完了したら、[次へ] を選択して次の手順に進みます。

   タブ名	説明
   基本操作	設定を適用するサブスクリプションと設定の種類を選択します。 設定のわかりやすい名前と説明 (省略可能) を入力します。
   設定	選択した設定の種類の値を定義します。 設定の種類ごとに使用できるオプションの詳細については、下の「センサー設定リファレンス」で、選択した設定の種類を確認してください。
   [適用]	[サイトの選択]、[ゾーンの選択]、[センサーの選択] ドロップダウン メニューを使用して、設定を適用する場所を定義します。 重要: サイトまたはゾーンを選択すると、後でサイトまたはゾーンに追加される OT センサーを含め、接続されているすべての OT センサーに設定が適用されます。 サイト全体に設定を適用することを選択した場合は、そのゾーンまたはセンサーも選択する必要はありません。
   確認と作成	設定に対して行った選択内容を確認します。 新しい設定が既存の設定を置き換える場合は、既存の設定を示す 警告が表示されます。 設定の構成に問題がなければ、[作成] を選択します。

新しい設定は、その設定の種類の [Sensor settings (Preview)] (センサー設定 (プレビュー)) ページと、関連する OT センサーのセンサー詳細ページに一覧表示されます。 センサーの設定は、センサー詳細ページでは読み取り専用として表示されます。 次に例を示します。

現在の OT センサー設定を表示および編集する

サブスクリプションに対して既に定義されている現在の設定を表示するには、次のようにします。

1. Azure portal の Defender for IoT で、[サイトとセンサー] > [Sensor settings (Preview)] (センサー設定 (プレビュー)) を選びます

   [Sensor settings (Preview)] (センサー設定 (プレビュー)) ページには、サブスクリプションに対して既に定義されている設定が、設定の種類別に一覧表示されます。 各種類を展開するかまたは折りたたみ、詳細な構成を表示します。 次に例を示します。

   

2. 特定の設定を選択すると、その正確な構成と、設定が適用されているサイト、ゾーン、または個々のセンサーが表示されます。

3. 設定の構成を編集するには、[編集] を選択し、設定の作成に使用したものと同じウィザードを使用して、必要な更新を行います。 完了したら、[適用] を選択して変更を保存します。

既存の OT センサー設定を削除する

OT センサー設定を完全に削除するには、次のようにします。

1. [Sensor settings (Preview)] ( センサーの設定 (プレビュー)) ページで、削除する設定を見つけます。
2. 設定のカードの右上隅にある [...] オプション メニューを選択し、[削除] を選択します。

次に例を示します。

切断された OT センサーの設定を編集する

この手順では、OT センサーが現在 Azure から切断されている場合 (セキュリティ インシデントの進行中など) に OT センサー設定を編集する方法について説明します。

既定では、Azure portal から設定を構成すると、Azure portal と OT センサーの両方から構成可能なすべての設定は、OT センサー自体では読み取り専用に設定されます。 たとえば、Azure portal から VLAN を構成すると、帯域幅の上限、サブネット、VLAN の設定は "すべて" 読み取り専用に設定され、OT センサー上での変更がブロックされます。

OT センサーが Azure から切断され、これらの設定のいずれかを変更する必要がある場合は、まずそれらの設定への書き込みアクセス権を取得する必要があります。

ブロックされた OT センサー設定への書き込みアクセスを取得するには、次のようにします。

1. Azure portal の [Sensor settings (Preview)] (センサーの設定 (プレビュー)) ページで、編集する設定を見つけて編集用に開きます。 詳細については、上の「現在の OT センサー設定を表示および編集する」を参照してください。

   設定のスコープを編集して、OT センサーが含まれていないようにします。また、OT センサーの切断中に行った変更は、Azure に接続しても上書きされません。

   重要

   Azure portal で定義された設定は、OT センサーで定義された設定を常にオーバーライドします。

2. 該当の OT センサーのコンソールにサインインし、[Settings] (設定) > [Advanced configurations] (詳細設定) >[Azure Remote Config] (Azure リモート構成) の順に選択します。

3. コード ボックスで、block_local_config の値を 1 から 0 に変更し、[閉じる] を選択します。 次に例を示します。

   

OT ネットワーク センサーで関連する設定を直接更新して続行します。 詳細については、「個々のセンサーの管理」を参照してください。

センサー設定リファレンス

Azure portal から使用できる個々の OT センサー設定の詳細については、以降のセクションを参照してください。

Active Directory

Azure portal から Active Directory 設定を構成するには、次のオプションの値を定義します。

別の Active Directory サーバーを追加するには、[+ サーバーの追加] を選択し、それらのサーバー値を定義します。

帯域幅上限

帯域幅の上限については、センサーからクラウドへの送信通信にセンサーが使用する最大帯域幅を Kbps または Mbps で定義します。

既定値: 1500 Kbps

Azure への安定した接続に必要な最小値: 350 Kbps。 この最小設定では、センサー コンソールへの接続が通常よりも遅くなる可能性があります。

NTP

Azure portal からセンサーの NTP サーバーを構成するには、ポート 123 を使用して有効な IPv4 NTP サーバーの IP/ドメイン アドレスを定義します。

ローカル サブネット

OT スコープ内にあるデバイスの Azure デバイス インベントリに注目するには、サブネットの一覧を手動で編集して、OT スコープ内にあるローカルで監視されているサブネットのみが含まれるようにする必要があります。

サブネット一覧のサブネットは、ICS サブネットとして自動的に構成されます。これは、Defender for IoT がこれらのサブネットを OT ネットワークとして認識することを意味します。 サブネットを構成するときに、この設定を編集できます。

サブネットが構成されると、デバイスのネットワークの場所が、Azure デバイス インベントリの "ネットワークの場所" (パブリック プレビュー) 列に表示されます。 一覧のサブネットに関連付けられているすべてのデバイスは、"ローカル" と表示されます。一方、一覧に含まれない検出されたサブネットに関連付けられているデバイスは、"ルーティング" と表示されます。

Azure portal でサブネットを構成する

1. Azure portal で、[サイトとセンサー]>[センサーの設定] に移動します。

2. [ローカル サブネット] で、構成されたサブネットを確認します。 デバイス インベントリに焦点を合わせ、インベントリ内のローカル デバイスを表示するには、削除するサブネットのオプション メニュー (...) を選択して、IoT/OT スコープ内にないサブネットをすべて削除します。

3. 追加の設定を変更するには、任意のサブネットを選択し、次のオプションの [編集] を選択します。

   • [Import subnets] (サブネットのインポート) を選択して、サブネットの IP アドレスとマスクのコンマ区切りの一覧をインポートします。 [Export subnets] (サブネットのエクスポート) を選択して現在構成されているデータの一覧をエクスポートするか、[Clear all] (すべてクリア) を選択して最初から開始します。

   • [IP アドレス]、[マスク]、[名前] の各フィールドに値を入力して、サブネットの詳細を手動で追加します。 [サブネットの追加] を選択して、必要に応じてサブネットを追加します。

   • [ICS サブネット] は既定でオンになっています。これは、Defender for IoT がそのサブネットを OT ネットワークとして認識することを意味します。 サブネットを非 ICS として指定するには、[ICS サブネット] をオフにします。

VLAN の名前付け

OT センサーの VLAN を定義するには、VLAN ID とわかりやすい名前を入力します。

[VLAN の追加] を選択して、必要に応じてさらに VLAN を追加します。

次のステップ