センサー コンソールから OT ネットワーク センサーのメンテナンスを行う

この記事では、大規模なデプロイ プロセス外で実行できる追加の OT センサーのメンテナンス作業について説明します。

OT センサーは、OT センサー CLI、Azure portal、オンプレミス管理コンソールからメンテナンスを行うこともできます。

前提条件

この記事の手順を実行する前に、次のものがあることを確認してください。

• Azure portal で OT ネットワーク センサーが Defender for IoT にインストールされ、構成され、アクティブ化され、オンボードされていること。

• 管理者ユーザーとして OT センサーにアクセスできること。 選択したプロシージャと CLI アクセスには、特権ユーザーも必要です。 詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。

• OT センサー用のソフトウェアをダウンロードするには、セキュリティ管理者、共同作成者、または所有者ユーザーとして Azure portal にアクセスする必要があります。

• センサーの証明書を更新する必要がある場合に SSL/TLS 証明書が用意されていること。

全体的な OT センサーの正常性を確認する

OT センサーにサインインしたときに、最初に表示されるページは [概要] ページです。

次に例を示します。

[概要] ページには、次のウィジェットが表示されます。

各ウィジェットのリンクを選択すると、センサーの詳細をドリルダウンできます。

接続の状態を検証する

OT センサーの [概要] ページから、OT センサーが直接 Azure portal に正常に接続されていることを確認します。

接続に問題がある場合は、[概要] ページの [一般設定] 領域に切断メッセージが表示され、ページ上部の [システム メッセージ] 領域にサービス接続エラーの警告が表示されます。 次に例を示します。

情報アイコンにカーソルを合わせると、問題に関する詳細情報が表示されます。 次に例を示します。

[システム メッセージ] の下の [Learn more](詳細情報) オプションを選択して、アクションを実行します。 次に例を示します。

OT センサー用ソフトウェアをダウンロードする

Defender for IoT ソフトウェアをお使いのアプライアンスにインストールする場合、またはソフトウェアのバージョンを更新する場合は、必要に応じて OT センサー用のソフトウェアをダウンロードします。

Azure portal の Defender for IoT で、次のいずれかのオプションを使用します。

• 新規インストールの場合は、[はじめに]>[センサー] の順に選択します。 [アプライアンスの購入とソフトウェアのインストール] 領域でバージョンを選択し、[ダウンロード] を選択します。

• OT センサーを更新する場合は、[サイトとセンサー] ページ >[センサーの更新 (プレビュー)] メニューのオプションを使用します。

Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されているため、マシンは署名された資産のみを使用します。

詳細については、「Defender for IoT OT モニタリング ソフトウェアの更新」を参照してください。

新しいアクティブ化ファイルをアップロードする

各 OT センサーは、クラウド接続またはローカル管理の OT センサーとしてオンボードされ、一意のアクティブ化ファイルを使用してアクティブ化されます。 クラウド接続センサーの場合、アクティブ化ファイルはセンサーと Azure の間の接続を確保するために使用されます。

ローカル管理センサーからクラウド接続センサーに移行するなど、センサーの管理モードを切り替える場合や、最近のソフトウェア バージョンから更新する場合は、新しいアクティブ化ファイルをセンサーにアップロードする必要があります。 新しいアクティブ化ファイルをセンサーにアップロードするには、Azure portal からセンサーを削除し、再びオンボードする必要があります。

新しいアクティブ化ファイルを追加するには:

1. 次のいずれかの操作を行います。

   • センサーを最初からオンボードする:

     1. Azure portal の Defender for IoT > [サイトとセンサー] で、OT センサーを見つけて削除します。

     2. [OT センサーのオンボード] > [OT] を選択して、センサーをもう一度最初からオンボードし、新しいアクティブ化ファイルをダウンロードします。 詳細については、OT センサーのオンボードに関する記事を参照してください。

   • 現在のセンサーのアクティブ化ファイルをダウンロード する: [サイトとセンサー] ページで、追加したセンサーを見つけます。 センサーの行の 3 つのドット (...) を選択し、[アクティブ化ファイルのダウンロード] を選択します。 センサーからアクセスできる場所にファイルを保存します。

   Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されているため、マシンは署名された資産のみを使用します。

2. Defender for IoT センサー コンソールにサインインし、[システム設定] > [センサー管理] > [サブスクリプションおよびアクティブ化モード] の順に選択します。

3. [アップロード] を選択し、Azure portal からダウンロードしたファイルを参照します。

4. [アクティブ化] を選択して、新しいアクティブ化ファイルをアップロードします。

アクティブ化ファイルのアップロードをトラブルシューティングする

アクティブ化ファイルをアップロードできなかった場合は、エラー メッセージが表示されます。 次のイベントが発生している可能性があります。

• センサーがインターネットに接続できません。センサーのネットワーク構成を確認します。 センサーがインターネットにアクセスするために Web プロキシ経由で接続する必要がある場合は、 [センサーのネットワーク構成] 画面でプロキシ サーバーが正しく構成されていることを確認します。 ファイアウォールまたはプロキシで必要なエンドポイントが許可されていることを確認します。

  OT センサー バージョン 22.x の場合は、Azure portal の [サイトとセンサー] ページから必要なエンドポイントの一覧をダウンロードします。 サポートされているソフトウェア バージョンの OT センサー、またはサポートされているセンサーが 1 つ以上あるサイトを選択します。 [その他のアクション]>[エンドポイント詳細のダウンロード] を選択します。 以前のバージョンのセンサーについては、「センサーから Azure portal へのアクセス」を参照してください。

• アクティブ化ファイルは有効ですが、Defender for IoT で拒否されました。この問題を解決できない場合は、Azure portal の [サイトとセンサー] ページから別のアクティブ化をダウンロードできます。 それでもうまくいかない場合は、Microsoft サポートにお問い合わせください。

SSL/TLS 証明書の管理

運用環境で作業をしている場合は、OT センサーのデプロイの一環として、CA 署名 SSL/TLS 証明書をデプロイ済みです。 自己署名証明書は、テスト目的でのみ使用することをお勧めします。

次の手順では、証明書の有効期限が切れた場合など、更新された SSL/TLS 証明書をデプロイする方法について説明します。

証明書のアップロード エラーのトラブルシューティング

証明書が正しく作成されていない場合、または無効な場合には、OT センサーまたはオンプレミス管理コンソールに証明書をアップロードすることはできません。 次の表を使用して、証明書のアップロードが失敗し、エラー メッセージが表示された場合にアクションを実行する方法を理解します:

OT センサーのネットワーク構成を更新する

インストール時に OT センサー ネットワークを構成しました。 ネットワーク値の変更やプロキシ構成の設定など、OT センサーのメンテナンスの一環として変更が必要になる場合があります。

OT センサーの構成を更新するには:

1. OT センサーにサインインし、[システム設定]>[基本]>[センサー ネットワーク設定] の順に選択します。

2. [センサー ネットワーク設定] ペインで、必要に応じて OT センサーの次の詳細を更新します。

   • IP アドレス。 IP アドレスを変更するには、ユーザーが OT センサーにもう一度サインインする必要がある場合があります。
   • サブネット マスク
   • 既定のゲートウェイ
   • DNS。 組織の DNS サーバーで構成されているのと同じホスト名を使用してください。
   • ホスト名 (省略可能)

3. 必要に応じて [プロキシを有効にする] オプションをオンまたはオフに切り替えます。 プロキシを使用している場合は、次の値を入力します。

   • プロキシ ホスト
   • プロキシ ポート
   • プロキシのユーザー名 (省略可能)
   • プロキシのパスワード (省略可能)

4. [保存] を選択して変更を保存します。

学習モードを手動でオフにする

Microsoft Defender for IoT の OT ネットワーク センサーは、ネットワークに接続され、ユーザーがサインインするとすぐに自動的にネットワークの監視を開始します。 ネットワーク デバイスがデバイス インベントリに表示されるようになり、ネットワークで発生したセキュリティまたは運用上のインシデントに対してアラートがトリガーされます。

最初に、このアクティビティは "学習" モードで行われます。このモードでは、ネットワーク内のデバイスとプロトコルを含むネットワークの通常のアクティビティと、特定のデバイス間で発生する通常のファイル転送を学習するように OT センサーが指示されます。 定期的に検出されたアクティビティは、ネットワークのベースライン トラフィックになります。

この手順では、現在のアラートにネットワーク アクティビティが正確に反映されていると思われる場合に、学習モードを手動でオフにする方法について説明します。

学習モードをオフにする:

1. OT ネットワーク センサーにサインインし、[システム設定] > [ネットワーク監視] > [検出エンジンとネットワーク モデリング] の順に選択します。

2. 次のいずれかまたは両方のオプションをオフに切り替えます。

   • 学習。 OT センサーの検出にネットワーク アクティビティが正確に反映されていると思われる場合は、センサーをデプロイしてから約 2 から 6 週間後に、このオプションをオフに切り替えます。

   • スマート IT 学習。 "非決定的な" アラートおよび通知の数を低く抑えるには、このオプションをオンのままにします。

   非決定的な動作には、DNS 要求や HTTP 要求などの通常の IT アクティビティの結果である変更が含まれます。 スマート IT 学習オプションをオフに切り替えると、多くの擬陽性ポリシー違反アラートがトリガーされる可能性があります。

3. 確認メッセージで [OK] を選択し、[閉じる] を選択して変更を保存します。

センサーの監視インターフェイスを更新する (ERSPAN を構成する)

トラフィックを監視するためにセンサーで使用されるインターフェイスを変更したい場合があります。 これらの詳細はもともと、センサーの初期セットアップの一部として構成しましたが、ERSPAN 監視の構成など、システム メンテナンスの一部として設定の変更が必要になる場合があります。

詳細については、「ERSPAN ポート」を参照してください。

センサーの監視インターフェイスを更新するには:

1. OT センサーにサインインし、[システム設定]>[基本]>[インターフェイス接続] の順に選択します。

2. グリッドで、構成するインターフェイスを見つけます。 次のいずれかを実行します。

   • センサーで監視するインターフェイスの [有効/無効] トグルを選択します。 センサーごとに少なくとも 1 つのインターフェイスが有効になっている必要があります。

     使用するインターフェイスがわからない場合は、[物理インターフェイス LED を点滅させる] ボタンを選択して、選択したポートをマシンで点滅させます。

     ヒント

     アクティブに使用されているインターフェイスのみを監視するように設定を構成して、センサーのパフォーマンスを最適化することをお勧めします。

   • 監視することを選択したインターフェイスごとに、[詳細設定] ボタンを選択して、以下のいずれかの設定を変更します。

     名前	説明
     Mode	次のいずれかを選択してください。 - SPAN トラフィック (カプセル化なし): 既定の SPAN ポート ミラーリングを使用する場合。 - ERSPAN: ERSPAN ミラーリングを使おうとしている場合。 詳細については、「OT センサーのトラフィック ミラーリング方法を選択する」を参照してください。
     説明	必要に応じてインターフェイスの説明を入力します。 これは後で、センサーの [システム設定] > [インターフェイスの構成] ページに表示されます。これらの説明は、各インターフェイスの目的を理解するのに役立つ場合があります。
     自動ネゴシエーション	関連するのは物理マシンのみです。 このオプションは、使用されている通信方法の種類や、コンポーネント間で通信方法が自動的に定義されているかどうかを特定するために使用します。 重要: この設定を変更するのは、ネットワーク チームに助言された場合のみにすることをお勧めします。

   次に例を示します。

   

3. [保存] を選択して変更を保存します。 センサー ソフトウェアが再起動して変更が実装されます。

OT センサーのタイム ゾーンを同期する

ユーザーの所在地に関係なく、すべてのユーザーに同じ時間が表示されるように特定のタイム ゾーンで OT センサーを構成できます。

タイム ゾーンは、アラート、傾向と統計ウィジェット、データ マイニング レポート、リスク評価レポート、攻撃ベクトル レポートで使用されます。

OT センサーのタイム ゾーンを構成するには:

1. OT センサーにサインインし、[システム設定] > [基本] > [時間とリージョン] の順に選択します。

2. [時間とリージョン] ペインに次の詳細を入力します:

   • タイム ゾーン: 使用するタイム ゾーンを選択します

   • 日付の形式: 使用する時刻と日付の形式を選択します。 サポートされている形式は以下のとおりです｡

     • dd/MM/yyyy HH:mm:ss
     • MM/dd/yyyy HH:mm:ss
     • yyyy/MM/dd HH:mm:ss

   [日付と時刻] フィールドは、選択した形式で現在の時刻に自動的に更新されます。

3. [保存] を選択して変更を保存します。

SMTP メール サーバーの設定を構成する

OT センサーで SMTP メール サーバー設定を定義して、他のサーバーとパートナー サービスにデータを送信するように OT センサーを構成します。

オンプレミスの管理コンソールから、切断されたセンサー、失敗したセンサー バックアップの取得、SPAN 監視ポートの障害に関するメール アラートが有効になるように SMTP メール サーバーを構成し、メール転送を設定し、転送アラート ルールを構成する必要があります。

前提条件:

センサーの管理ポートから SMTP サーバーに到達できることを確認します。

OT センサーで SMTP サーバーを構成するには:

1. OT センサーにサインインし、[システム設定]>[統合]>[メール サーバー] の順に選択します。

2. 表示される [メール サーバー構成の編集] ウィンドウで、SMTP サーバーの値を次のように定義します。

   パラメーター	説明
   SMTP サーバー アドレス	SMTP サーバーの IP アドレスまたはドメイン アドレスを入力します。
   SMTP サーバー ポート	既定値 は 25 です。 必要に応じて値を調整します。
   発信メール アカウント	センサーからの送信メール アカウントとして使用するメール アドレスを入力します。
   SSL	センサーからの安全な接続のために有効にします。
   認証	有効にしてから、メール アカウントのユーザー名とパスワードを入力します。
   NTLM を使用する	オンにして NTLM を有効にします。 このオプションは、[認証] オプションが有効になっている場合にのみ表示されます。

3. 完了したら、 [保存] を選択します。

PCAP ファイルをアップロードして再生する

OT センサーのトラブルシューティングの際には、特定の PCAP ファイルによって記録されたデータを調べることができます。 これを行うには、PCAP ファイルを OT センサーにアップロードし、記録されたデータを再生します。

[PCAP の再生] オプションは、センサー コンソールの設定で既定で有効になっています。

アップロード ファイルの最大サイズは 2 GB です。

センサー コンソールに PCAP プレーヤーを表示するには:

1. センサー コンソールで、[システム設定] > [センサーの管理] > [詳細な構成] に移動します。

2. [詳細な構成] ペインで、[Pcaps](PCAP) カテゴリを選択します。

3. 表示された構成で enabled=0 を enabled=1 に変更し、[保存] を選択します。

[PCAP の再生] オプションが、センサー コンソールの設定において、[システム設定] > [基本] > [PCAP の再生] の下で使用できるようになりました。

PCAP ファイルをアップロードして再生するには:

1. センサー コンソールで、[システム設定] > [基本] > [PCAP の再生] を選択します。

2. [PCAP プレーヤー] ペインで [アップロード] を選んでから、アップロードするファイルに移動して選びます (複数可)。

   

3. [再生] を選択して PCAP ファイルを再生するか、[すべて再生] を選択して現在読み込まれているすべての PCAP ファイルを再生します。

特定の分析エンジンをオフにする

既定では、OT ネットワーク センサーは組み込みの分析エンジンを使用して、取り込まれたデータを分析し、リアルタイムおよび事前に記録されたトラフィックの両方に基づいてアラートをトリガーします。

すべての分析エンジンをオンのままにしておくことをお勧めしますが、OT センサーで特定の分析エンジンをオフにして、その OT センサーによって監視される異常とリスクの種類を制限できます。

OT センサーの分析エンジンを管理するには:

1. OT センサーにサインインし、[システム設定] > [ネットワーク監視] > [カスタマイズ] > [検出エンジンとネットワーク モデリング] の順に選択します。

2. [検出エンジンとネットワークモデリング] ペインの [エンジン] 領域で、次のエンジンの 1 つ以上をオフにします。

   • プロトコル違反
   • ポリシー違反
   • マルウェア
   • 異常
   • 運用時

   エンジンをオンに戻して、関連する異常とアクティビティを再度追跡し始めます。

   詳細については、「Defender for IoT 分析エンジン」を参照してください。

3. [閉じる] を選択して変更を保存します。

オンプレミス管理コンソールから分析エンジンを管理するには:

1. オンプレミス管理コンソールにサインインし、[システム設定] を選択します。

2. [センサー エンジンの構成] セクションで、設定を適用する OT センサーを 1 つ以上選択し、以下のいずれかのオプションをオフにします。

   • プロトコル違反
   • ポリシー違反
   • マルウェア
   • 異常
   • 運用時

3. [変更の保存] を選択して変更を保存します。

OT センサー データをクリアする

OT センサーを再配置または消去する必要がある場合は、OT センサーをリセットして、OT センサーで検出または学習されたすべてのデータをクリアします。

クラウドに接続されたセンサーでデータをクリアした後:

• Azure portal のデバイス インベントリが並列で更新されます。
• PCAP ファイルのダウンロードやアラートの学習など、Azure portal 内の対応するアラートに対する一部のアクションがサポートされなくなります。

システム データをクリアするには:

1. admin ユーザーとして OT センサーにサインインします。 詳細については、「既定の特権オンプレミス ユーザー」を参照してください。

2. [サポート]>[データのクリア] を選択します。

3. 確認ダイアログ ボックスで [はい] を選択して、センサーからすべてのデータをクリアしてリセットすることを確定します。 次に例を示します。

   

アクションが成功したことを示す確認メッセージが表示されます。 すべての学習データ、許可リスト、ポリシー、構成設定がセンサーからクリアされます。

センサー プラグインを管理し、プラグインのパフォーマンスを監視する

センサー コンソールの [プロトコル DPI (Horizon プラグイン)] ページを使用して、センサーによって監視されている各プロトコルのデータを表示します。

1. OT センサー コンソールにサインインし、[システム設定] > [ネットワーク監視] > [プロトコル DPI (Horizon プラグイン)] を選択します。

2. 次のいずれかの操作を行います。

   • センサーによって監視されるプロトコルを制限するには、必要に応じてプラグインごとに [有効]/[無効] トグルを選択します。

   • プラグインのパフォーマンスを監視するには、各プラグインの [プロトコル DPI (Horizon プラグイン)] ページに表示されるデータを確認します。 特定のプラグインを見つけるために、[検索] ボックスを使って完全または部分的なプラグイン名を入力できます。

[Protocols DPI (Horizon Plugins)] (プロトコル DPI (Horizon プラグイン)) には、プラグインごとに次のデータが一覧表示されます。

ログ データは、解析の統計情報と解析ログのログ ファイルでエクスポートできます。 詳細については、トラブルシューティング ログのエクスポートに関する記事を参照してください。

次のステップ

詳細については、次を参照してください。

• オンプレミスの管理コンソールからセンサーを管理する
• センサー アクティビティを追跡する
• センサーのトラブルシューティングを行う