オンプレミスの管理コンソールでアラートを表示および管理する (レガシ)
重要
現在、Defender for IoT では、中央監視とセンサー管理に Microsoft クラウド サービスまたは既存の IT インフラストラクチャを使用することを推奨しており、2025 年 1 月 1 日にオンプレミス管理コンソールを廃止する予定です。
詳細については、「ハイブリッドまたはエアギャップ OT センサーの管理をデプロイする」を参照してください。
Microsoft Defender for IoT アラートは、ネットワークのログに記録されるイベントに関するリアルタイムの詳細情報を使用して、ネットワークのセキュリティと運用を強化します。 注意が必要なネットワーク トラフィック内の変化や疑わしいアクティビティが OT ネットワーク センサーによって検出されると、OT アラートがトリガーされます。
この記事では、オンプレミス管理コンソールで Defender for IoT アラートを表示する方法について説明します。ここで、接続されているすべての OT センサーからのアラートが集計されます。 OT アラートは、Azure portal または OT ネットワーク センサーに表示することもできます。
前提条件
この記事の手順を実行する前に、次のものがあることを確認してください。
オンプレミス管理コンソールがインストールされ、アクティブ化され、構成されていること。 場所またはゾーン別にアラートを表示するには、オンプレミス管理コンソールでサイトとゾーンを構成していることを確認します。
1 つ以上の OT ネットワーク センサーがインストールされ、構成され、アクティブ化され、オンプレミス管理コンソールに接続されていること。 ゾーンごとにアラートを表示するには、各センサーが特定のゾーンに割り当てられていることを確認します。
次のいずれかのユーザー ロールを使用して、オンプレミス管理コンソールにアクセスできること。
オンプレミス管理コンソールにアラートを表示するには、"管理者"、"セキュリティ アナリスト"、または "閲覧者" ユーザーとしてサインインします。
オンプレミス管理コンソールでアラートを管理するには、"管理者" または "セキュリティ アナリスト" ユーザーとしてサインインします。 管理アクティビティには、アラートの種類に応じて、アラートの確認やミュートなどがあります。
オンプレミス管理コンソールにアラートを表示する
オンプレミス管理コンソールにサインインし、左側のメニューの [通知] を選択します。
アラートは単純なテーブルに表示され、アラートをトリガーしたセンサーとアラートの詳細が 2 つの列に示されます。
アラート行を選択して、その詳細を展開します。
展開されたアラート行で、次のいずれかを行って、アラートに関する追加のコンテキストを表示します。
[OPEN SENSOR] (センサーを開く) を選択して、アラートを生成したセンサーを開き、調査を続けます。 詳細については、「OT センサーでアラートを表示および管理する」を参照してください。
[デバイスの表示] を選択して、ゾーン マップ上の影響を受けるデバイスを表示します。 詳細については、「オンプレミス管理コンソールで OT サイトとゾーンを作成する」を参照してください。
注意
オンプレミス管理コンソールでは、"新しい" アラートは "未確認" と呼ばれ、"終了した" アラートは "確認済み" と呼ばれます。 詳細については、「アラートの状態とトリアージ オプション」を参照してください。
表示されるアラートをフィルター処理する
[通知] ページの上部で、[Free Search] (自由検索)、[サイト]、[ゾーン]、[デバイス]、[センサー] の各オプションを使用して、表示されるアラートを特定のパラメーターによってフィルター処理するか、特定のアラートを見つけられるようにします。
確認済みのアラートは、既定では一覧に表示されません。 それらを一覧に含めるには、[Show Acknowledged Alerts] (確認済みのアラートを表示する) を選択します。
すべてのフィルターを削除するには、[クリア] を選択します。
場所別にアラートを表示する
グローバル ネットワーク全体での接続されている OT センサーからのアラートを表示するには、オンプレミス管理コンソール上のエンタープライズ ビュー マップを使用します。
オンプレミス管理コンソールにサインインし、[エンタープライズ ビュー] を選択します。 既定のマップ ビューには、世界中のサイトの場所が表示されます。
(省略可能) ページの上部にある [すべてのサイト] メニューと [すべての地域] メニューを使用して、マップをフィルター処理し、特定のサイトのみ、または特定のリージョンのみを表示します。
ページの上部にある [既定のビュー] メニューから、次のいずれかを選択して、特定の種類のアラートにドリルダウンします。
- リスク管理。 サイト リスク アラートを強調表示し、軽減アクティビティの優先順位付けとセキュリティ強化の計画に役立ちます。
- インシデント対応。各サイトのアクティブな (未確認の) アラートを強調表示します。
- 悪意のあるアクティビティ。 直ちに対処する必要があるマルウェアのアラートを強調表示します。
- 操作のアラート。 PLC 停止やファームウェアまたはプログラムのアップロードなど、操作のアラートを強調表示します。
既定のビュー以外のビューでは、サイトは赤、黄、または緑で表示されます。 赤いサイトには直ちに対処する必要があるアラートがあり、黄色のサイトには調査の根拠となるアラートがあり、緑のサイトでは対処する必要はありません。
赤または黄色のサイトを選択し、特定の OT センサーの
アラート ボタンを選択して、そのセンサーの現在のアラートにジャンプします。 次に例を示します。![[アラート] ボタンを示すスクリーンショット。](../media/how-to-work-with-alerts-on-premises-management-console/select-alerts-button.png)
[アラート] ページが開き、選択したアラートに自動的にフィルター処理されます。
ゾーン別にアラートを表示する
特定のゾーンに関する、接続された OT センサーからのアラートを表示するには、オンプレミス管理コンソールの [サイト管理] ページを使用します。
お使いのオンプレミスの管理コンソールにサインインし、[サイトの管理] を選択します。
必要に応じて上部にあるフィルターオプションを使用して、表示するサイトとゾーンを見つけます。
- 接続性: すべての OT センサーのみを表示するか、接続/切断されたセンサーのみを表示するかを選択します。
- アップグレードの状態: すべての OT センサーを表示するか、特定のソフトウェア更新プログラムの状態の OT センサーのみを表示するかを選択します。
- 事業単位: すべての OT センサーを表示するか、特定の事業単位のセンサーのみを表示するかを選択します。
- リージョン: すべての OT センサーを表示するか、特定のリージョンの OT センサーのみを表示するかを選択します。
特定の OT センサーの
アラート ボタンを選択して、そのセンサーの現在のアラートにジャンプします。
アラートの状態を管理してアラートをトリアージする
アラートの種類に応じて、オンプレミス管理コンソールでアラートの状態を管理するには、次のオプションを使用します。
アラートを確認または未確認にするには: 展開されたアラート行で、必要に応じて [確認する] または [未確認にする] を選択します。
アラートをミュートまたはミュート解除するには: 展開されたアラート行で、行の上部にマウス ポインターを合わせ、必要に応じて
[ミュート] ボタンまたは 
[ミュート解除] ボタンを選択します。
詳細については、「アラートの状態とトリアージ オプション」を参照してください。
アラートを CSV ファイルにエクスポートする
オフライン共有とレポート作成のために、選択したアラートを CSV ファイルにエクスポートできます。
オンプレミス管理コンソールにサインインし、[通知] ページを選択します。
検索とフィルターのオプションを使用して、エクスポートするアラートのみを表示します。
[エクスポート] を選択します。
CSV ファイルが生成され、ローカルに保存するように求められます。