デバイス マップでデバイスを調査する
OT デバイス マップは、OT ネットワーク センサーによって検出されたネットワーク デバイスとその間の接続をグラフィックで表します。
デバイス マップを使用して、デバイス情報 (特定の関心グループや Purdue レイヤーなど) を一度にすべて、またはネットワーク セグメント別に取得、分析、管理します。 オンプレミス管理コンソールを使用して無線環境で作業している場合は、"ゾーン マップ" を使用して、特定のゾーン内のすべての接続済み OT センサーのデバイスを表示します。
前提条件
この記事の手順を実行する前に、次のものがあることを確認してください。
OT センサーまたはオンプレミス管理コンソールのへのアクセス。 ビューアー ロールを持つユーザーは、マップ上のデータを表示できます。 データをインポートまたはエクスポートしたり、マップ ビューを編集したりするには、セキュリティ アナリストまたは管理者ユーザーとしてアクセスする必要があります。 詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。
ゾーン内の複数のセンサー全体のデバイスを表示するには、オンプレミス管理コンソールもインストール、アクティブ化、構成され、複数のセンサーが接続され、サイトとゾーンに割り当てられている必要があります。
OT センサー デバイス マップでデバイスを表示する
OT センサーにサインインし、[デバイス マップ] を選択します。 既定では、OT センサーによって検出されたすべてのデバイスが、Purdue レイヤーに従って表示されます。
OT センサーのデバイス マップは、以下のようになっています。
- 現在アクティブなアラートがあるデバイスは赤で強調表示されます
- 星付きのデバイスは、重要とマークされているデバイスです
- アラートのないデバイスは黒、拡大接続ビューでは灰色で表示されます
次に例を示します。
拡大して特定のデバイスを選択すると、それと他のデバイス間の接続が青色で強調表示されます。
拡大すると、各デバイスに次の詳細が表示されます。
- デバイスのホスト名、IP アドレス、サブネット アドレス (該当する場合)。
- デバイスで現在アクティブなアラートの数。
- さまざまなアイコンで表されるデバイスの種類。
- IT ネットワークのサブネットにグループ化されたデバイスの数 (該当する場合)。 このデバイス数は黒い円で表示されます。
- デバイスが新しく検出されたか、または未承認であるか。
特定のデバイスを右クリックし、[プロパティの表示] を選択して、デバイスのデバイス詳細ページの [マップ ビュー] タブにドリルダウンします。
OT センサー マップの表示を変更する
表示されるデータとその表示方法を変更するには、次のいずれかのマップ ツールを使用します。
名前 | 説明 |
---|---|
マップを更新 | 更新データでマップを最新の情報に更新するために選択します。 |
通知 | デバイス通知を表示する場合に選択します。 |
Search by IP / MAC (IP/MAC による検索) | マップをフィルター処理して、特定の IP または MAC アドレスに接続されているデバイスのみを表示します。 |
Multicast/broadcast (マルチキャスト/ブロードキャスト) | マルチキャスト デバイスとブロードキャスト デバイスを表示または非表示にするフィルターを編集する場合に選択します。 既定では、マルチキャストとブロードキャストのトラフィックは非表示になります。 |
フィルターの追加 (最後の表示) | 過去 5 分間から過去 7 日間までの特定の期間に表示されたデバイスで表示されるデバイスをフィルター処理する場合に選択します。 |
フィルターのリセット | [最後の表示] フィルターをリセットする場合に選択します。 |
強調表示 | 選択すると、特定のデバイス グループ内のデバイスが強調表示されます。 強調表示されたデバイスは、青色でマップに表示されます。 [グループの検索] ボックスを使用して、強調表示するデバイス グループを検索するか、グループ オプションを展開して、強調表示するグループを選択します。 |
Assert | 特定のデバイス グループ内のデバイスのみを表示するようにマップをフィルター処理する場合に選択します。 [グループの検索] ボックスを使用してデバイス グループを検索するか、グループ オプションを展開して、フィルター処理するグループを選択します。 |
[ズーム] / |
マウスまたはマップの右側にある +/- ボタンを使用して、マップを拡大し、各デバイス間の接続を表示します。 |
画面に合わせる |
すべてのデバイスが画面に収まるように縮小します |
選択範囲に合わせる |
選択したすべてのデバイスが画面に収まるように縮小します |
IT/OT のプレゼンテーション オプション |
[Disable Display IT Networks Groups] (IT ネットワーク グループの表示を無効にする) を選択して、マップ内サブネットを折りたたむ機能を抑止します。 既定では、このオプションはオンになっています。 |
レイアウト オプション |
次のいずれかを選択します。 - Pin layout (レイアウトをピン留めする)。 デバイスをマップ上の新しい場所にドラッグした場合に、その場所を保存するために選択します。 - Layout by connection (接続別のレイアウト)。 デバイスを接続別に整理して表示する場合に選択します。 - Layout by Purdue (Purdue 別のレイアウト)。 デバイスを Purdue レイヤー別に整理して表示する場合に選択します。 |
デバイスの詳細を表示するには、デバイスを選択し、右側のデバイス詳細ウィンドウを展開します。 デバイス詳細ウィンドウでは、次の操作を行います。
- [Activity Report] (アクティビティ レポート) を選択して、デバイスのデータ マイニング レポートに移動します
- [Event Timeline] (イベント タイムライン) を選択してデバイスのイベント タイムラインに移動します
- [Device Details] (デバイスの詳細) を選択して、完全なデバイスの詳細ページに移動します。
OT センサー デバイス マップから IT サブネットを表示する
既定では、IT デバイスは自動的にサブネット別に集約されるので、マップはローカルの OT および IoT ネットワークにフォーカスされます。
IT サブネットを展開するには:
OT センサーにサインインし、[デバイス マップ] を選択します。
マップ上で目的のサブネットを見つけます。 ボックス内の複数のマシンのように見えるサブネット アイコンを表示するには、マップを拡大する必要がある場合があります。 次に例を示します。
マップ上のサブネット デバイスを右クリックし、[Expand Network] (ネットワークを展開) を選びます。
マップの上に表示される確認メッセージで、[OK] を選択します。
IT サブネットを折りたたむには、次のようにします。
- OT センサーにサインインし、[デバイス マップ] を選択します。
- 1 つ以上の展開されたサブネットを選択し、[すべて折りたたむ] を選択します。
接続されているデバイス間のトラフィックの詳細を表示する
接続されているデバイス間のトラフィックの詳細を表示するには、以下の手順を実行します。
OT センサーにサインインし、[デバイス マップ] を選択します。
マップ上で、接続されている 2 つのデバイスを見つけます。 デバイス アイコン (モニターのようなもの) が見つからない場合は、必要に応じてマップを拡大してください。
マップ上の 2 つのデバイスを繋ぐ線をクリックし、右側の [接続プロパティ] ペインを 展開します。 次に例を示します。
[接続プロパティ] ペインでは、次のように、2 つのデバイス間のトラフィックの詳細を表示できます。
- 接続が最初に検出されてからの経過時間。
- 各デバイスの IP アドレス。
- 各デバイスの状態。
- 各デバイスのアラートの数。
- 合計帯域幅のグラフ。
- ポート別の上位トラフィックのグラフ。
カスタム デバイス グループを作成する
OT センサーの 組み込みデバイス グループに加えて、必要に応じて、マップ上のデバイスを強調表示またはフィルター処理するときに使用する新しいカスタム グループを作成します。
ツール バーで [+ Create Custom Group] (+ カスタム グループの作成) を選択するか、マップ内のデバイスを右クリックして、[Add to custom group] (カスタム グループに追加) を選択します。
[Add custom group] (カスタム グループの追加) ウィンドウで、次の操作を行います。
- [名前] フィールドに、グループのわかりやすい名前を最大 30 文字で入力します。
- [Copy from groups] (グループからコピー) メニューから、デバイスのコピー元となるグループを選択します。
- [デバイス] メニューから、グループに追加するその他のデバイスを選択します。
デバイス データをインポートまたはエクスポートする
次のいずれかのオプションを使用して、デバイス データをインポートおよびエクスポートします。
- Import Devices (デバイスのインポート)。 事前構成済みの .CSV ファイルからデバイスをインポートする場合に選択します。
- Export Devices (デバイスのエクスポート)。 現在表示されているすべてのデバイスを完全な詳細と共に .CSV ファイルにエクスポートする場合に選択します。
- Export Device Summary (デバイスの概要をエクスポートする)。 現在表示されているすべてのデバイスの概要を .CSV ファイルにエクスポートする場合に選択します。
デバイスを編集する
OT センサーにサインインし、[デバイス マップ] を選択します。
デバイスを右クリックしてデバイス オプション メニューを開き、次のいずれかのオプションを選択します。
名前 説明 プロパティの編集 編集ウィンドウが開き、承認、名前、説明、OS プラットフォーム、デバイスの種類、Purdue レベル、スキャナーまたはプログラミング デバイスであるかどうかなど、デバイスのプロパティを編集できます。 プロパティを表示する デバイスの詳細ページを開きます。 承認/承認の解除 デバイスの承認状態を変更します。 Mark as Important / Non-Important (重要としてマーク/非重要としてマーク) デバイスの重要度の状態を変更し、マップ上およびその他 OT センサー レポートや Azure デバイス インベントリなどで、ビジネス クリティカルなサーバーに星を付けて強調表示します。 アラートの表示 / イベントの表示 デバイスの詳細ページの [アラート] または [Event Timeline] (イベント タイムライン) タブを開きます。 Activity Report (アクティビティ レポート) 選択した期間のデバイスのアクティビティ レポートを生成します。 [Simulate Attack Vectors] (攻撃ベクトルのシミュレート) 選択したデバイスの攻撃ベクトル シミュレーションを生成します。 Add to custom group (カスタム グループに追加) 選択したデバイスで新しいカスタム グループを作成します。 削除 インベントリからデバイスを削除します。
デバイスをマージする
OT センサーで、4 つのネットワーク カードを持つ PLC や、WiFi と物理ネットワーク カードの両方を備えた 1 台のノート PC など、一意のデバイスに関連付けられている複数のネットワーク エンティティが検出された場合は、デバイスをマージできます。
マージできるのは、認可済みのデバイスのみです。
重要
デバイスのマージを元に戻すことはできません。 2 つのデバイスを誤ってマージした場合は、それらのデバイスを削除し、センサーによって両方が再検出されるのを待ちます。
複数のデバイスをマージするには:
OT センサーにサインインし、[デバイス マップ] を選択します。
Shift キーを使用して複数のデバイスを選択し、マージする承認済みデバイスを選択し、右クリックして [マージ] を選択します。
プロンプトで、[確認] を選んで、デバイスをマージすることを確認します。
デバイスがマージされ、右上に確認メッセージが表示されます。 マージ イベントは、OT センサーのイベント タイムラインにリストされます。
デバイス通知を管理する
ネットワークに脅威を与える可能性があるトラフィックの変更に関する詳細を提供するアラートとは対照的に、OT センサー デバイス マップのデバイス通知では、注意を払う必要がある可能性があるが脅威ではないネットワーク アクティビティに関する詳細が提供されます。
たとえばアクティブでないデバイスについて、再接続が必要である、または、それがもうネットワークに接続されていないのであれば削除する必要があるという通知を受け取ります。
デバイス通知を表示して処理するには:
OT センサーにサインインし、[デバイス マップ]>[通知] を選択します。
右側の [Discovery Notifications] (検出通知) ウィンドウで、時間範囲、デバイス、サブネット、またはオペレーティング システムで必要に応じて通知をフィルター処理します。
次に例を示します。
各通知に含まれる軽減オプションは異なる場合があります。 次のいずれかの操作を行います。
- 一度に 1 つの通知を処理します。特定の軽減アクションを選択するか、[Dismiss] (無視) を選択してアクティビティなしで通知を閉じます。
- [すべて選択] を選択すると、まとめて処理できる通知が表示されます。 特定の通知の選択をクリアし、[Accept All] (すべて受け入れる) または [Dismiss All] (すべて無視) を選択して、選択した残りの通知をまとめて処理します。
Note
選択した通知は、14 日以内に無視されないか、それ以外の方法で処理されない場合、自動的に解決されます。 詳細については、下次の表の自動解決列に示されているアクションを参照してください。
複数の通知をまとめて処理する
次のように、複数の通知をまとめて処理する必要がある場合があります。
IT によって複数のネットワーク サーバーで OS がアップグレードされ、すべての新しいサーバー バージョンを学習する必要がある。
あるデバイスのグループがアクティブではなくなったため、OT センサーからデバイスを削除するように OT センサーに指示する必要がある。
複数の通知をまとめて処理しても、新しい IP アドレスやサブネットが検出されないなど、手動で処理する必要がある通知が残っている可能性があります。
デバイス通知への対応
次の表に、各通知で使用可能な対応と、それぞれを使用することが推奨されるタイミングを示します。
型 | 説明 | 使用可能な対応 | 自動解決 |
---|---|---|---|
新しい IP が検出された | 新しい IP アドレスはデバイスに関連付けられています。 これは、次のシナリオで発生する可能性があります。 - 新しい IP アドレスまたは追加の IP アドレスが、既存の MAC アドレスを持つ既に検出済みのデバイスと関連付けられた。 - NetBIOS 名を使用しているデバイスに対して新しい IP アドレスが検出された。 - MAC アドレスに関連付けられているデバイスの管理インターフェイスとして IP アドレスが検出された。 - 仮想 IP アドレスを使用しているデバイスに対して新しい IP アドレスが検出された。 |
- 追加の IP をデバイスに設定する: デバイスをマージする - 既存の IP を置き換える: 既存の IP アドレスを新しいアドレスに置き換えます - Dismiss (無視する): 通知を削除します。 |
無視 |
構成されたサブネットなし | 現在、ネットワーク内にサブネットが構成されていません。 マップ上の OT デバイスと IT デバイスを区別できるようにサブネットを構成することをお勧めします。 |
- サブネット構成を開き、サブネットを構成します。 - Dismiss (無視する): 通知を削除します。 |
無視 |
オペレーティング システムの変更 | 1 つ以上の新しいオペレーティング システムがデバイスに関連付けられています。 | - デバイスに関連付ける新しい OS の名前を選択します。 - Dismiss (無視する): 通知を削除します。 |
まだ手動で構成されていない場合のみ、新しいオペレーティング システムで設定します。 オペレーティング システムが既に構成されている場合、無視します。 |
新しいサブネット | 新しいサブネットが検出されました。 | - Learn (学習): サブネットを自動的に追加します。 - Open Subnet Configuration (サブネット構成を開く): 不足しているすべてのサブネット情報を追加します。 - 無視: 通知を削除します。 |
無視 |
特定のゾーンのデバイス マップを表示する
サイトとゾーンが構成されたオンプレミス管理コンソールを使用している場合は、ゾーンごとのデバイス マップも使用できます。
オンプレミス管理コンソールのゾーン マップには、OT センサー、検出されたデバイスなど、選択したゾーンに関連するすべてのネットワーク要素が表示されます。
ゾーン マップを表示するには:
オンプレミス管理コンソールにサインインし、表示するゾーンの [Site Management] (サイト管理)>[View Zone Map] (ゾーン マップの表示) を選択します。 次に例を示します。
マップの表示を変更するには、次のいずれかのマップ ツールを使用します。
名前 説明 Save current arrangement (現在の配置を保存する)
マップ表示で行った変更を保存します。 Hide multicast/broadcast addresses (マルチキャスト/ブロードキャスト アドレスを非表示にする)
既定でオンになっています。 マルチキャスト デバイスとブロードキャスト デバイスをマップに表示する場合に選択します。 Present Purdue lines (Purdue ラインを表示する)
既定でオンになっています。 マップ上の Purdue ラインを非表示にする場合に選択します。 [再レイアウト]
Purdue ラインまたはゾーン別にレイアウトを再構成する場合に選択します。 Scale to fit screen (画面に合わせて拡大縮小する)
マップ全体が画面に収まるように、マップを拡大または縮小します。 Search by IP / MAC (IP/MAC による検索) 特定の IP アドレスまたは MAC アドレスを選択して、マップ上のデバイスを強調表示します。 Change to a different zone map (別のゾーン マップに変更する)
選択して [Change Zone Map] (ゾーン マップの変更) ダイアログを開き、表示する別のゾーン マップを選択できます。 [ズーム]
/マウスまたはマップの右側にある +/- ボタンを使用して、マップを拡大し、各デバイス間の接続を表示します。 拡大して、サブネットにグループ化されたデバイスの数を表示したり、サブネットを展開したりするなど、デバイスごとの詳細を表示します。
デバイスを右クリックし、[プロパティの表示] を選択して [デバイスのプロパティ] ダイアログを開き、デバイスの詳細を表示します。
赤で表示されているデバイスを右クリックし、[View alerts] (アラートの表示) を選択して、選択したデバイスに関するアラートのみがフィルター処理された [アラート] ページに移動します。
組み込みのデバイス マップ グループ
次の表に、OT センサーの [デバイスのマップ] ページですぐに使用できるデバイス グループの一覧を示します。 組織の必要に応じて、追加のカスタム グループを作成してください。
グループ名 | 説明 |
---|---|
Attack vector simulations (攻撃ベクトルのシミュレーション) | [デバイス マップで表示] オプションがオンになっている、攻撃ベクトル レポートで検出された脆弱なデバイス。 |
承認 | 最初の学習期間中に検出されたか、後で手動で承認済みデバイスとしてマークされたデバイス。 |
Cross subnet connections (サブネット間の接続) | あるサブネットから別のサブネットへ通信するデバイス。 |
Device inventory filters (デバイス インベントリ フィルター) | OT センサーの [デバイス インベントリ] ページで作成されたフィルターに基づくすべてのデバイス。 |
Known applications (既知のアプリケーション) | TCP などの予約済みポートを使用するデバイス。 |
最後のアクティビティ | 最後にアクティブであった時間枠でグループ化されたデバイス。たとえば、1 時間、6 時間、1 日、7 日など。 |
Non-standard ports (標準以外のポート) | 別名が割り当てられていない標準以外のポートを使用するデバイス。 |
Not In Active Directory (Active Directory にない) | Active Directory と通信していないすべての PLC 以外のデバイス。 |
OT protocols (OT プロトコル) | 既知の OT トラフィックを処理するデバイス。 |
Polling intervals (ポーリング間隔) | ポーリング間隔によってグループ化されたデバイス。 ポーリング間隔は、循環チャネルまたは期間に従って自動的に生成されます。 たとえば、15.0 秒、3.0 秒、1.5 秒、またはその他の任意の間隔。 この情報を確認すると、システムのポーリングが早すぎるか遅すぎるかを知ることができます。 |
プログラミング | エンジニアリング ステーションとプログラミング マシン。 |
サブネット | 特定のサブネットに属するデバイス。 |
VLAN | 特定の VLAN ID に関連付けられているデバイス。 |
次のステップ
詳しくは、デバイス インベントリでのセンサー検出の調査に関する記事をご覧ください。