Microsoft Defender for IoT によって監視されるトラフィックを制御する

この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明するシリーズ記事の 1 つです。

OT 監視の微調整が強調表示された進行バーの図。

Microsoft Defender for IoT OT ネットワーク センサーでは、IT トラフィックと OT トラフィックのディープ パケット検出が自動的に実行され、デバイスの属性や動作などのネットワーク デバイス データが解決されます。

OT ネットワーク センサーのインストール、アクティブ化、構成の後は、この記事で説明されているツールを使用して、自動的に検出されるトラフィックを分析し、必要に応じて他のサブネットを追加し、Defender for IoT アラートに含まれるトラフィック情報を制御します。

前提条件

この記事の手順を実行する前に、以下が必要となります。

この手順は、デプロイ チームによって実行されます。

デプロイを分析する

Microsoft Defender for IoT に新しい OT ネットワーク センサーをオンボードしたら、監視されているトラフィックを分析してセンサーが正しくデプロイされていることを検証します。

ネットワークを分析するには:

  1. OT センサーに管理者ユーザーとしてサインインし、[システム設定]>[基本]>[デプロイ] の順に選択します。

  2. [分析] を選択します。 分析が開始され、センサーによって監視されているインターフェイスごとにタブが表示されます。 各タブには、指定したインターフェイスによって検出されたサブネットが表示されます。

  3. それぞれのインターフェイス タブに、以下の詳細が表示されます。

    • 接続の状態。緑または赤の接続アイコンで、タブ名に示されます。 たとえば上の図では、eth1 インターフェイスは緑色で表示されています。したがって、接続されています。
    • 検出されたサブネットと VLAN の合計数。タブの上部に表示されています。
    • 各サブネットで検出されたプロトコル。
    • 各サブネットで検出されたユニキャスト アドレスの数。
    • 各サブネットでブロードキャスト トラフィックが検出されているかどうか。これはローカル ネットワークを示します。
  4. 分析が完了するまで待ってから、各インターフェイスのタブを調べ、インターフェイスが関連するトラフィックを監視しているか、さらに微調整が必要かを理解します。

[デプロイ] ページに表示されるトラフィックが想定したとおりでない場合は、ネットワーク内のセンサーの場所を変更するか、監視インターフェイスが正しく接続されていることを確認して、デプロイを微調整する必要がある場合があります。 変更を加え、トラフィックを再度分析して改善されたかどうかを確認する場合は、もう一度 [分析] を選択して、更新された監視状態を確認します。

サブネットの一覧を微調整する

センサーで監視しているトラフィックを分析し、デプロイを微調整した後で、サブネットの一覧をさらに微調整することが必要になる場合があります。 下記の手順に従って、サブネットが正しく構成されていることを確認します。

OT センサーでは、初期デプロイ時にネットワーク サブネットが自動的に学習されますが、マップ ビューとデバイス インベントリを最適化するために、検出されたトラフィックを分析し、必要に応じて更新することをお勧めします。

この手順は、デバイスが、センサーのデバイス マップAzure デバイス インベントリにどのように表示されるかを決定する、サブネット設定を定義するためにも使用します。

  • デバイス マップでは、IT デバイスは自動的にサブネット別に集約されます。必要に応じて、各サブネット ビューを展開したり折りたたんだりしてドリルダウンできます。
  • Azure デバイス インベントリでは、サブネットが構成されたら、"ネットワークの場所" (パブリック プレビュー) フィルターを使用して、サブネット一覧の定義に従って "ローカル" または "ルーティング" デバイスを表示します。 一覧のサブネットに関連付けられているすべてのデバイスは、"ローカル" と表示されます。一方、一覧に含まれない検出されたサブネットに関連付けられているデバイスは、"ルーティング" と表示されます。

OT ネットワーク センサーはネットワーク内のサブネットを自動的に学習しますが、マップ ビューとデバイス インベントリを最適化するために、学習した設定を確認し、必要に応じて更新することをお勧めします。 サブネットとして一覧表示されていないサブネットは、外部ネットワークとして扱われます。

ヒント

OT センサー設定の大規模な管理を開始する準備ができたら、Azure portal からサブネットを定義します。 Azure portal から設定を適用すると、センサー コンソールの設定は読み取り専用になります。 詳細については、「Azure portal から OT センサー設定を構成する (パブリック プレビュー)」を参照してください。

検出されたサブネットを微調整するには:

  1. OT センサーに管理者ユーザーとしてサインインし、[システム設定]>[基本]>[サブネット] の順に選択します。 次に例を示します。

    OT センサー設定の [サブネット] ページのスクリーンショット。

  2. 以下のいずれかのオプションを使用して、一覧に示されたサブネットを更新します。

    名前 説明
    サブネットのインポート サブネット定義の .CSV ファイルをインポートします。 サブネット情報が、インポートした情報で更新されます。 空のフィールドをインポートした場合、そのフィールドのデータは失われます。
    サブネットのエクスポート 現在一覧表示されているサブネットを .CSV ファイルにエクスポートします。
    [すべてクリア] 現在定義されているすべてのサブネットをクリアします。
    サブネットの自動学習 既定でオンになっています。 センサーでサブネットを自動検出しないようにするには、このオプションをオフにします。
    すべてのインターネット トラフィックを内部/プライベートとして解決する すべてのパブリック IP アドレスをプライベートなローカル アドレスと扱う場合に選択します。 選択した場合、パブリック IP アドレスはローカル アドレスとして扱われ、認可されていないインターネット アクティビティに関するアラートは送信されません。

    このオプションでは、外部アドレスに関して受信した通知とアラートを減らします。
    IP アドレス (IP address) サブネットの IP アドレスを定義します。
    Mask サブネットの IP マスクを定義します。
    名前 サブネットのネットワークでの役割を指定する、わかりやすい名前を入力することをお勧めします。 サブネット名には最大 60 文字を指定できます。
    分離 Purdue レベルに従ってデバイス マップを表示するときに、このサブネットを個別に示す場合に選択します。
    サブネットの削除 IoT/OT ネットワーク スコープに関連しないサブネットを削除する場合に選択します。

    サブネット グリッドでは、ICS サブネットとしてマークされたサブネットは、OT ネットワークとして認識されます。 このオプションは、このグリッド内では読み取り専用ですが、正しく認識されていない OT サブネットがある場合は、サブネットを手動で ICS として定義することができます。

  3. 完了したら、[保存] を選択して更新を保存します。

ヒント

[サブネットの自動学習] 設定が無効になり、IoT/OT スコープ内にあるローカルで監視されるサブネットのみを含むようにサブネットの一覧を編集すると、Azure デバイス インベントリを "ネットワークの場所" でフィルター処理し、"ローカル" として定義されているデバイスのみを表示できるようになります。 詳細については、「デバイス インベントリを表示する」を参照してください。

サブネットを ICS として手動で定義する

センサーによって自動的に ICS サブネットとしてマークされていない OT サブネットがある場合は、適切なサブネット内のいずれかのデバイスのデバイスの種類を編集し、デバイスの種類を ICS または IoT にします。 すると、サブネットはセンサーによって ICS サブネットとして自動的にマークされます。

Note

ICS としてマークされるようにサブネットを手動で変更するには、OT センサーのデバイス インベントリのデバイスの種類を変更してください。 Azure portal では、サブネットの一覧のサブネットは、センサー設定で既定で ICS としてマークされます。

サブネットを手動で更新するようにデバイスの種類を変更するには:

  1. OT センサー コンソールにサインインし、[デバイス インベントリ] に移動します。

  2. デバイス インベントリ グリッドで、関連するサブネットからデバイスを選択し、ページの上部にあるツール バーの [編集] を選択します。

  3. [種類] フィールドで、[ICS] または [IoT] の下に一覧表示されているドロップダウン リストからデバイスの種類を選択します。

これで、サブネットはセンサーで ICS サブネットとしてマークされます。

詳しくは、「デバイスの詳細を編集する」を参照してください。

ポートと VLAN の名前をカスタマイズする

OT ネットワーク センサーのポートと VLAN の名前をカスタマイズして、Defender for IoT に表示されるデバイス データを強化するには、次の手順を使用します。

たとえば、異常に高いアクティビティを示している未予約のポートを呼び出すため、それに名前を割り当てたり、より迅速な識別のため、VLAN 番号に名前を割り当てたりすることができます。

注意

クラウドに接続されたセンサーの場合、最終的には、Azure portal から OT センサー設定の構成を開始できます。 Azure portal から設定の構成を開始すると、OT センサーの [VLAN] ペインと [ポートの名前付け] ペインは読み取り専用になります。 詳細については、「Azure portal から OT センサー設定を構成する」を参照してください。

検出されたポートの名前をカスタマイズする

Defender for IoT では、DHCP や HTTP など、最も一般的に予約されているポートに名前が自動的に割り当てられます。 ただし、検出されたアクティビティが異常に多いポートを監視している場合など、特定のポートの名前をカスタマイズして強調表示することもできます。

ポート名は、OT センサーのデバイス マップからデバイス グループを表示するとき、またはポート情報を含む OT センサー レポートを作成するときに、Defender for IoT に表示されます。

ポート名をカスタマイズするには:

  1. 管理者ユーザーとして OT センサーにサインインします。

  2. [システム設定] を選択し、[ネットワーク監視][ポートの名前付け] を選択します。

  3. 表示される [ポートの名前付け] ウィンドウで、名前を付けるポート番号、ポートのプロトコル、わかりやすい名前を入力します。 サポートされているプロトコルの値は、[TCP][UDP][両方] です。

  4. [+ ポートの追加] を選択して他のポートをカスタマイズし、完了したら [保存] を選択します。

VLAN 名をカスタマイズする

VLAN は OT ネットワーク センサーによって自動的に検出されるか、手動で追加されます。 自動的に検出された VLAN は編集または削除できませんが、手動で追加された VLAN には一意の名前が必要です。 VLAN に明示的な名前が付いていない場合は、代わりに VLAN の番号が表示されます。

VLAN のサポートは、802.1q (最大 VLAN ID 4094) に基づいています。

Note

VLAN 名は、OT ネットワーク センサーとオンプレミス管理コンソールの間で同期されません。 オンプレミス管理コンソールでカスタマイズされた VLAN 名を表示する場合は、そこでも VLAN 名を定義します。

OT ネットワーク センサーで VLAN 名を構成するには:

  1. 管理者ユーザーとして OT センサーにサインインします。

  2. [システム設定] を選択し、[ネットワーク監視][VLAN の名前付け] を選択します。

  3. 表示される [VLAN の名前付け] ウィンドウで、VLAN ID と一意の VLAN 名を入力します。 VLAN 名には、最大 50 個の ASCII 文字を含めることができます。

  4. [+ VLAN の追加] を選択して他の VLAN をカスタマイズし、完了したら [保存] を選択します。

  5. Cisco スイッチの場合: monitor session 1 destination interface XX/XX encapsulation dot1q コマンドを SPAN ポート構成に追加します。XX/XX はポートの名前と番号です。

DNS サーバーを定義する

逆引き参照を実行し、ネットワーク サブネットで検出された IP アドレスに関連付けられているホスト名または FQDN を解決するように複数の DNS サーバーを構成することで、デバイス データのエンリッチメントを強化します。 たとえば、センサーが IP アドレスを検出した場合、ホスト名を解決するために複数の DNS サーバーにクエリを実行することがあります。 DNS サーバー アドレス、サーバー ポート、サブネット アドレスが必要です。

DNS サーバー検索を定義するには:

  1. OT センサー コンソールで [システム設定]>[ネットワーク監視] を選び、[Active Discovery] の下にある [逆引き DNS 検索] を選びます。

  2. [Schedule Reverse Lookup] (逆引き参照のスケジュール) オプションを使って、一定間隔、1 時間ごと、または特定の時刻にスキャンを定義します。

    [By specific times] (特定の時刻) を選んだ場合、午後 2:30 に対して 14:30 のように 24 時間制の時計を使います。 横にある + ボタンを選び、検索を実行する特定の時刻を追加します。

  3. [DNS サーバーの追加] を選び、必要に応じてフィールドに入力し、次のフィールドを定義します。

    • DNS サーバーのアドレス (DNS サーバーの IP アドレス)
    • DNS サーバー ポート
    • ラベル数。これは、表示するドメイン ラベル数です。 この値を取得するには、ネットワーク IP アドレスとデバイスの FQDN を解決します。 このフィールドには最大で 30 文字を入力できます。
    • サブネット。これは、DNS サーバーでクエリを実行するサブネットです。
  4. 上部の [有効] オプションを切り替え、スケジュールどおりに逆引き参照クエリを開始し、[保存] を選んで構成を完了します。

詳細については、逆引き DNS 検索の構成に関するページを参照してください。

DNS 構成をテストする

テスト デバイスを使って、定義した逆引き DNS 参照の設定が想定どおりに機能することを検証します。

  1. センサー コンソールで [システム設定]>[ネットワーク監視] を選び、[Active Discovery] の下にある [Reverse DNS Lookup] (DNS 逆引き参照) を選びます。

  2. [トグル] トグルが選ばれていることを確認します。

  3. [Test] を選択します。

  4. [サーバーの DNS 逆引き参照テスト] ダイアログで、[参照アドレス] にアドレスを入力し、[テスト] を選びます。

DHCP アドレス範囲を構成する

OT ネットワークは、静的 IP アドレスと動的 IP アドレスの両方で構成される場合があります。

  • 静的アドレスは通常、OT ネットワーク上のヒストリアン、コントローラー、ネットワーク インフラストラクチャ デバイス (スイッチやルーターなど) にあります。
  • 動的 IP 割り当ては、通常、(さまざまな場所で Wi-Fi または LAN 物理接続を使用する) ラップトップ、PC、スマートフォン、他のポータブル機器を含むゲスト ネットワークに実装されています。

動的ネットワークを使用している場合は、IP アドレスの変更が発生したときに、その処理を行う必要があります。それには、各 OT ネットワーク センサーに対して DHCP アドレス範囲を定義します。 IP アドレスが DHCP アドレスとして定義されている場合、Defender for IoT では、IP アドレスの変更に関係なく、同じデバイスで発生しているアクティビティを識別します。

DHCP アドレス範囲を定義するには:

  1. OT センサーにサインインし、[システム設定]>[ネットワーク監視]>[DHCP 範囲] の順に選択します。

  2. 次のいずれかの操作を行います。

    • 1 つの範囲を追加するには、[+ 範囲の追加] を選択し、IP アドレス範囲と範囲の省略可能な名前を入力します。
    • 複数の範囲を追加するには、各範囲の "From"、"To"、"Name" データの列を含む .CSV ファイルを作成します。 [インポート] を選択して、ファイルを OT センサーにインポートします。 .CSV ファイルからインポートされた範囲の値は、センサー用に現在構成されている範囲データを上書きします。
    • 現在構成されている範囲を .CSV ファイルにエクスポートするには、[エクスポート] を選択します。
    • 現在構成されているすべての範囲をクリアするには、[すべてクリア] を選択します。

    範囲名には最大 256 文字を指定できます。

  3. [保存] を選択して変更を保存します。

トラフィック フィルターを構成する (詳細)

アラート疲れを軽減し、優先度の高いトラフィックにネットワーク監視を集中するには、ソースで Defender for IoT にストリーミングするトラフィックをフィルター処理することができます。 キャプチャ フィルターは OT センサー CLI を通じて構成され、これを使用することで、ハードウェア層で高帯域幅のトラフィックをブロックし、アプライアンスのパフォーマンスとリソースの使用状況の両方を最適化できます。

詳細については、次を参照してください。

次のステップ