Azure portal から OT センサー設定を構成する (パブリック プレビュー)

新しい OT ネットワーク センサーを Microsoft Defender for IoT にオンボードした後、ローカル ユーザーの追加など、OT センサー コンソールでいくつかの設定を直接定義できます。

この記事に記載されている OT センサー設定は、Azure portal から直接利用することもできます。 Azure portal を使用して、クラウドに接続された複数の OT センサーに対して、または特定のサイトまたはゾーン内のすべてのクラウド接続 OT センサーに対して、これらの設定を一括で適用します。 この記事では、Azure portal から OT ネットワーク センサーの設定を表示および構成する方法について説明します。

Note

Defender for IoT の [センサー設定] ページはプレビュー段階です。 Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される他の法律条項が含まれています。

前提条件

OT センサーの設定を定義するには、次が用意されていることを確認します。

新しいセンサー設定を定義する

1 つ以上の OT ネットワーク センサーに対して特定の構成を定義する場合は常に、新しい設定を定義します。 たとえば、特定のサイトまたはゾーン内のすべての OT センサーに対して帯域幅上限を定義する場合や、ネットワーク内の特定の場所にある 1 つの OT センサーに対して定義する場合があります。

新しい設定を定義するには、次のようにします

  1. Azure portal の Defender for IoT で、[サイトとセンサー] > [Sensor settings (Preview)] (センサー設定 (プレビュー)) を選びます。

  2. [Sensor settings (Preview)] ( センサー設定 (プレビュー)) ページで、[+ 追加] を選択し、ウィザードを使用して設定の次の値を定義します。 ウィザードの各タブが完了したら、[次へ] を選択して次の手順に進みます。

    タブ名 説明
    基本操作 設定を適用するサブスクリプションと設定の種類を選択します。

    設定のわかりやすい名前と説明 (省略可能) を入力します。
    設定 選択した設定の種類の値を定義します。
    設定の種類ごとに使用できるオプションの詳細については、下の「センサー設定リファレンス」で、選択した設定の種類を確認してください。
    [適用] [サイトの選択][ゾーンの選択][センサーの選択] ドロップダウン メニューを使用して、設定を適用する場所を定義します。

    重要: サイトまたはゾーンを選択すると、後でサイトまたはゾーンに追加される OT センサーを含め、接続されているすべての OT センサーに設定が適用されます。
    サイト全体に設定を適用することを選択した場合は、そのゾーンまたはセンサーも選択する必要はありません。
    確認と作成 設定に対して行った選択内容を確認します。

    新しい設定が既存の設定を置き換える場合は、既存の設定を示す 警告が表示されます。

    設定の構成に問題がなければ、[作成] を選択します。

新しい設定は、その設定の種類の [Sensor settings (Preview)] (センサー設定 (プレビュー)) ページと、関連する OT センサーのセンサー詳細ページに一覧表示されます。 センサーの設定は、センサー詳細ページでは読み取り専用として表示されます。 次に例を示します。

Screenshot of a sensor details page showing a setting applied.

ヒント

特定の OT センサーまたはゾーンについて設定に対して例外を構成する必要がある場合があります。 そのような場合は、例外用の追加設定を作成します。

設定は階層的な方法で相互にオーバーライドされるため、設定が特定の OT センサーに適用されると、ゾーンまたはサイト全体に適用されている関連する設定がオーバーライドされます。 ゾーン全体の例外を作成するには、そのゾーンの設定を追加して、サイト全体に適用されている関連設定をオーバーライドします。

現在の OT センサー設定を表示および編集する

サブスクリプションに対して既に定義されている現在の設定を表示するには、次のようにします

  1. Azure portal の Defender for IoT で、[サイトとセンサー] > [Sensor settings (Preview)] (センサー設定 (プレビュー)) を選びます

    [Sensor settings (Preview)] (センサー設定 (プレビュー)) ページには、サブスクリプションに対して既に定義されている設定が、設定の種類別に一覧表示されます。 各種類を展開するかまたは折りたたみ、詳細な構成を表示します。 次に例を示します。

    Screenshot of OT sensor settings on the Azure portal.

  2. 特定の設定を選択すると、その正確な構成と、設定が適用されているサイト、ゾーン、または個々のセンサーが表示されます。

  3. 設定の構成を編集するには、[編集] を選択し、設定の作成に使用したものと同じウィザードを使用して、必要な更新を行います。 完了したら、[適用] を選択して変更を保存します。

既存の OT センサー設定を削除する

OT センサー設定を完全に削除するには、次のようにします。

  1. [Sensor settings (Preview)] ( センサーの設定 (プレビュー)) ページで、削除する設定を見つけます。
  2. 設定のカードの右上隅にある [...] オプション メニューを選択し、[削除] を選択します。

次に例を示します。

Screenshot of the Delete setting option.

切断された OT センサーの設定を編集する

この手順では、OT センサーが現在 Azure から切断されている場合 (セキュリティ インシデントの進行中など) に OT センサー設定を編集する方法について説明します。

既定では、Azure portal から設定を構成すると、Azure portal と OT センサーの両方から構成可能なすべての設定は、OT センサー自体では読み取り専用に設定されます。 たとえば、Azure portal から VLAN を構成すると、帯域幅の上限、サブネット、VLAN の設定は "すべて" 読み取り専用に設定され、OT センサー上での変更がブロックされます。

OT センサーが Azure から切断され、これらの設定のいずれかを変更する必要がある場合は、まずそれらの設定への書き込みアクセス権を取得する必要があります。

ブロックされた OT センサー設定への書き込みアクセスを取得するには、次のようにします

  1. Azure portal の [Sensor settings (Preview)] (センサーの設定 (プレビュー)) ページで、編集する設定を見つけて編集用に開きます。 詳細については、上の「現在の OT センサー設定を表示および編集する」を参照してください。

    設定のスコープを編集して、OT センサーが含まれていないようにします。また、OT センサーの切断中に行った変更は、Azure に接続しても上書きされません。

    重要

    Azure portal で定義された設定は、OT センサーで定義された設定を常にオーバーライドします。

  2. 該当の OT センサーのコンソールにサインインし、[Settings] (設定) > [Advanced configurations] (詳細設定) >[Azure Remote Config] (Azure リモート構成) の順に選択します。

  3. コード ボックスで、block_local_config の値を 1 から 0 に変更し、[閉じる] を選択します。 次に例を示します。

    Screenshot of the Azure Remote Config option.

OT ネットワーク センサーで関連する設定を直接更新して続行します。 詳細については、「個々のセンサーの管理」を参照してください。

センサー設定リファレンス

Azure portal から使用できる個々の OT センサー設定の詳細については、以降のセクションを参照してください。

Active Directory

Azure portal から Active Directory 設定を構成するには、次のオプションの値を定義します。

名前 説明
ドメイン コントローラー FQDN LDAP サーバーに表示されている、正確な完全修飾ドメイン名 (FQDN)。 たとえば、「host1.subdomain.contoso.com」と入力します。

FQDN を使用した統合で問題が発生した場合は、DNS 構成を確認してください。 統合を設定するときに、FQDN ではなく LDAP サーバーの明示的な IP を入力することもできます。
ドメイン コントローラー ポート LDAP が構成されているポート。 たとえば、LDAPS (SSL) 接続にはポート 636 を使用します。
プライマリ ドメイン ドメイン名 (subdomain.contoso.com など)。次に、LDAP 構成の接続の種類を選択します。

サポートされている接続の種類は、LDAPS/NTLMv3 (推奨)、LDAP/NTLMv3、または LDAP/SASL-MD5 です。
Active Directory グループ [+ 追加] を選択して、必要に応じて、リストされている各アクセス許可レベルに Active Directory グループを追加します。

グループ名を入力するときは、LDAP サーバー上の Active Directory 構成で定義されているとおりにグループ名を入力する必要があります。 これらのグループ名は、Active Directory で新しいセンサー ユーザーを追加するときに使用します。

サポートされているアクセス許可レベルには、読み取り専用セキュリティ アナリスト管理者信頼されたドメインがあります。

重要

LDAP パラメーターを入力する場合:

  • 大文字と小文字の区別を除き、Active Directory に表示されるとおりに値を正確に定義します。
  • Active Directory の構成で大文字が使用されている場合でも、小文字のみを使用します。
  • LDAP と LDAPS を同じドメインに対して構成することはできません。 ただし、それぞれを異なるドメインで構成し、それらを同時に使用することはできます。

別の Active Directory サーバーを追加するには、[+ サーバーの追加] を選択し、それらのサーバー値を定義します。

帯域幅上限

帯域幅の上限については、センサーからクラウドへの送信通信にセンサーが使用する最大帯域幅を Kbps または Mbps で定義します。

既定値: 1500 Kbps

Azure への安定した接続に必要な最小値: 350 Kbps。 この最小設定では、センサー コンソールへの接続が通常よりも遅くなる可能性があります。

NTP

Azure portal からセンサーの NTP サーバーを構成するには、ポート 123 を使用して有効な IPv4 NTP サーバーの IP/ドメイン アドレスを定義します。

ローカル サブネット

OT スコープ内にあるデバイスの Azure デバイス インベントリに注目するには、サブネットの一覧を手動で編集して、OT スコープ内にあるローカルで監視されているサブネットのみが含まれるようにする必要があります。

サブネット一覧のサブネットは、ICS サブネットとして自動的に構成されます。これは、Defender for IoT がこれらのサブネットを OT ネットワークとして認識することを意味します。 サブネットを構成するときに、この設定を編集できます。

サブネットが構成されると、デバイスのネットワークの場所が、Azure デバイス インベントリの "ネットワークの場所" (パブリック プレビュー) 列に表示されます。 一覧のサブネットに関連付けられているすべてのデバイスは、"ローカル" と表示されます。一方、一覧に含まれない検出されたサブネットに関連付けられているデバイスは、"ルーティング" と表示されます。

Azure portal でサブネットを構成する

  1. Azure portal で、[サイトとセンサー]>[センサーの設定] に移動します。

  2. [ローカル サブネット] で、構成されたサブネットを確認します。 デバイス インベントリに焦点を合わせ、インベントリ内のローカル デバイスを表示するには、削除するサブネットのオプション メニュー (...) を選択して、IoT/OT スコープ内にないサブネットをすべて削除します。

  3. 追加の設定を変更するには、任意のサブネットを選択し、次のオプションの [編集] を選択します。

    • [Import subnets] (サブネットのインポート) を選択して、サブネットの IP アドレスとマスクのコンマ区切りの一覧をインポートします。 [Export subnets] (サブネットのエクスポート) を選択して現在構成されているデータの一覧をエクスポートするか、[Clear all] (すべてクリア) を選択して最初から開始します。

    • [IP アドレス][マスク][名前] の各フィールドに値を入力して、サブネットの詳細を手動で追加します。 [サブネットの追加] を選択して、必要に応じてサブネットを追加します。

    • [ICS サブネット] は既定でオンになっています。これは、Defender for IoT がそのサブネットを OT ネットワークとして認識することを意味します。 サブネットを非 ICS として指定するには、[ICS サブネット] をオフにします。

VLAN の名前付け

OT センサーの VLAN を定義するには、VLAN ID とわかりやすい名前を入力します。

[VLAN の追加] を選択して、必要に応じてさらに VLAN を追加します。

次のステップ