OT センサーを構成してアクティブ化する

  • [アーティクル]

この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明するシリーズ記事の 1 つであり、初期セットアップの設定を構成し、OT センサーをアクティブ化する方法について説明します。

センサーのデプロイが強調表示されている進行状況バーの図。

いくつかの初期セットアップ手順は、ブラウザーで、または CLI を介して実行できます。

  • スイッチからセンサーに物理ケーブルを接続してインターフェイスを正しく識別できる場合は、ブラウザーを使用します。 センサーの既定の設定と一致するように、ネットワーク アダプターを再構成してください。
  • 物理ケーブルを接続しなくてもネットワークの詳細がわかっている場合は、CLI を使用します。 センサーに接続できるのが iLo/iDrac からのみの場合は、CLI を使用します

CLI を介してセットアップを構成する場合でも、最後のいくつかの手順はブラウザーで完了する必要があります。

前提条件

この記事の手順を行うには、以下が必要です。

  • Azure portal で Defender for IoT にオンボードされた OT センサー。

  • アプライアンスにインストールされている OT センサー ソフトウェア。 ご自身でソフトウェアをインストールしたか、事前構成済みのアプライアンスを購入したことを確認します。

  • センサーのオンボード後にダウンロードしたセンサーのアクティブ化ファイル。 デプロイする OT センサーごとに、一意のアクティブ化ファイルが必要です。

    Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されているため、マシンは署名された資産のみを使用します。

    Note

    アクティブ化ファイルの有効期限は、作成から 14 日後です。 センサーをオンボードしたが、有効期限が切れる前にアクティブ化ファイルをアップロードしなかった場合は、新しいアクティブ化ファイルをダウンロード します。

  • SSL/TLS 証明書。 自己署名証明書ではなく、CA 署名証明書を使用することをお勧めします。 詳細については、OT アプライアンス用の SSL/TLS 証明書を作成するに関する記事を参照してください。

  • センサーをインストールしようとしている物理アプライアンスまたは仮想アプライアンスへのアクセス。 詳細については、「必要なアプライアンス」を参照してください。

この手順は、デプロイ チームによって実行されます。

ブラウザーからセットアップを構成する

ブラウザーからのセンサー セットアップの構成には、以下の手順が含まれます。

  • センサー コンソールへのサインインと 管理者ユーザーのパスワードの変更
  • センサーのネットワーク詳細の定義
  • 監視するインターフェイスの定義
  • センサーのアクティブ化
  • SSL/TLS 証明書の設定の構成

センサー コンソールにサインインし、既定のパスワードを変更する

この手順では、OT センサー コンソールに初めてサインインする方法について説明します。 管理者ユーザーの既定のパスワードを変更するように求められます。

センサーにサインインするには:

  1. ブラウザーで、192.168.0.101 IP アドレスに移動します。これは、インストールの最後にセンサーに提供される既定の IP アドレスです。

    初回サインイン ページが表示されます。 次に例を示します。

    センサーへの初回サインイン ページのスクリーンショット。

  2. 次の資格情報を入力し、[ログイン] を選択します。

    • ユーザー名: admin
    • パスワード: admin

    管理者ユーザーの新しいパスワードを定義するように求められます。

  3. [新しいパスワード] フィールドに、新しいパスワードを入力します。 パスワードには、小文字と大文字のアルファベット、数字、記号を含める必要があります。

    [新しいパスワードの確認] フィールドに新しいパスワードをもう一度入力し、[開始する] を選択します。

    詳細については、「既定の特権ユーザー」を参照してください。

[Defender for IoT | 概要] ページで、[管理インターフェイス] タブが開きます。

センサー ネットワークの詳細を定義する

[管理インターフェイス] タブで、以下のフィールドを使用して、新しいセンサーのネットワークの詳細を定義します。

名前 説明
管理インターフェイス 管理インターフェイスとして使用するインターフェイスを選択し、Azure portal またはオンプレミスの管理コンソールのいずれかに接続します。

マシン上の物理インターフェイスを識別するには、インターフェイスを選択し、[物理インターフェイス LED を点滅させる] を選択します。 選択したインターフェイスに一致するポートが点灯するので、ケーブルを正しく接続できます。
IP アドレス センサーに使用する IP アドレスを入力します。 これは、ブラウザーまたは CLI を介してセンサーに接続するためにチームで使用する IP アドレスです。
[サブネット マスク] センサーのサブネット マスクとして使用するアドレスを入力します。
既定のゲートウェイ センサーの既定のゲートウェイとして使用するアドレスを入力します。
DNS センサーの DNS サーバーの IP アドレスを入力します。
hostname センサーに割り当てるホスト名を入力します。 DNS サーバーで定義されているのと同じホスト名を使用していることを確認します。
クラウド接続のプロキシを有効にする (省略可能) センサーのプロキシ サーバーを定義する場合に選択します。

SSL/TSL 証明書を使用してプロキシ サーバーにアクセスする場合は、[クライアント証明書] を選択し、証明書をアップロードします。

完了したら、[次へ: インターフェイスの構成] を選択して続行します。

監視するインターフェイスを定義する

[インターフェイス構成] タブには、既定で、センサーによって検出されたすべてのインターフェイスが表示されます。 このタブを使用して、インターフェイスごとに監視をオンまたはオフにしたり、各インターフェイスの特定の設定を定義したりできます。

ヒント

アクティブに使用されているインターフェイスのみを監視するように設定を構成して、センサーのパフォーマンスを最適化することをお勧めします。

[インターフェイス構成] タブで以下を実行し、監視対象のインターフェイスの設定を構成します。

  1. センサーで監視するインターフェイスの [有効/無効] トグルを選択します。 続行するには、少なくとも 1 つのインターフェイスを選択する必要があります。

    使用するインターフェイスがわからない場合は、[物理インターフェイス LED を点滅させる] ボタンを選択して、選択したポートをマシンで点滅させます。 スイッチに接続したインターフェイスのいずれかを選択します。

  2. (省略可能) 監視することを選択したインターフェイスごとに、[詳細設定] ボタンを選択して、以下のいずれかの設定を変更します。

    名前 説明
    Mode 次のいずれかを選択してください。
    - SPAN トラフィック (カプセル化なし): 既定の SPAN ポート ミラーリングを使用する場合。
    - ERSPAN: ERSPAN ミラーリングを使おうとしている場合。

    詳細については、「OT センサーのトラフィック ミラーリング方法を選択する」を参照してください。
    説明 必要に応じてインターフェイスの説明を入力します。 これは後で、センサーの [システム設定] > [インターフェイスの構成] ページに表示されます。これらの説明は、各インターフェイスの目的を理解するのに役立つ場合があります。
    自動ネゴシエーション 関連するのは物理マシンのみです。 このオプションは、使用されている通信方法の種類や、コンポーネント間で通信方法が自動的に定義されているかどうかを特定するために使用します。

    重要: この設定を変更するのは、ネットワーク チームに助言された場合のみにすることをお勧めします。

    [保存] を選択して変更を保存します。

  3. [次へ: 再起動 >] を選んで続行してから、[再起動を開始] を選んでセンサー マシンを再起動します。 センサーが再び起動すると、センサー IP アドレス として前に定義した IP アドレスに自動的にリダイレクトされます。

    [キャンセル] を選択して再起動されるのを待ちます。

OT センサーをアクティブにする

この手順では、新しい OT センサーをアクティブ化する方法について説明します。

これまで CLI を介して初期設定を構成してきた場合は、この手順でブラウザー ベースの構成を開始します。 センサーが再起動すると、同じ [Defender for IoT | 概要] ページの [アクティブ化] タブににリダイレクトされます。

センサーをアクティブにするには:

  1. [アクティブ化] タブで、[アップロード] を選択して、Azure portal からダウンロードしたセンサーのアクティブ化ファイルをアップロードします。
  2. [ご契約条件] オプションを選択してから、[アクティブにする] を選択します。
  3. [次へ: 証明書] を選択します。

アクティブ化プロセス中にクラウドベースのセンサーと Azure portal の間で接続の問題が発生し、それによってアクティブ化が失敗した場合、[アクティブ化] ボタンの下にメッセージが表示されます。 接続の問題を解決するには、[詳細情報] を選択し、[クラウド接続] ペインを開きます。 このペインには、問題の原因と、それを解決するための推奨事項が一覧表示されます。

問題を解決しなくても、[次へ: 証明書] を選択すると、次のステージに進むことができます。

次のステージに進む前に修正する必要がある唯一の接続の問題は、時間ドリフトが検出され、センサーがクラウドに同期されない場合です。 この場合、次の段階に進む前に、推奨事項で説明されているとおりにセンサーを正確に同期する必要があります。

SSL/TLS 証明書の設定を構成する

[証明書] タブを使用して、OT センサーに SSL/TLS 証明書をデプロイします。 すべての運用環境で CA 署名証明書を使用することをお勧めします。

SSL/TLS 証明書の設定を構成するには:

  1. [証明書] タブで [信頼された CA 証明書をインポートする (推奨)] を選択して、CA 署名証明書をデプロイします。

    証明書の名前とパスフレーズを入力し、[アップロード] を選択して秘密キー ファイル、証明書ファイル、オプションの証明書チェーン ファイルをアップロードします。

    ファイルをアップロードした後、ページの更新が必要になる場合があります。 詳細については、証明書のアップロード エラーのトラブルシューティングに関する記事を参照してください。

    ヒント

    テスト環境で作業している場合は、インストール時にローカルに生成される自己署名証明書を使用することもできます。 自己署名証明書の使用を選択する場合は、推奨事項に関する [確認] オプションを選択してください。

    詳細については、SSL/TLS 証明書の管理に関するページを参照してください。

  2. [オンプレミス管理コンソール証明書の検証] 領域で、[必須] を選択し、オンプレミスの管理コンソールの証明書を、証明書で構成されている証明書失効リスト (CRL) に対して検証します。

    詳細については、「オンプレミス リソースの SSL/TLS 証明書の要件」および「OT アプライアンスの SSL/TLS 証明書を作成する」を参照してください。

  3. [完了] を選択して初期セットアップを完了し、センサー コンソールを開きます。

CLI を介してセットアップを構成する

CLI を介して以下の初期セットアップ設定を構成する場合は、この手順を使用します。

  • センサー コンソールへのサインインと、管理者ユーザーの新しいパスワードの設定
  • センサーのネットワーク詳細の定義
  • 監視するインターフェイスの定義

ブラウザーでの SSL/TLS 証明書設定のアクティブ化構成に進みます。

Note

この記事の情報は、センサー バージョン 24.1.5 に適用されます。 以前のバージョンを実行している場合は、ERSPAN ミラーリングの構成に関するページを参照してください。

CLI を介して初期セットアップの設定を構成するには:

  1. インストール画面で、既定のネットワークの詳細が表示されたら、Enter キーを押して続行します。

  2. D4Iot login プロンプトで、次の既定の資格情報を使用してサインインします。

    • ユーザー名: admin
    • パスワード: admin

    パスワードを入力するとき、パスワードの文字は画面に表示されません。 注意して入力してください。

  3. プロンプトで、管理者ユーザーの新しいパスワードを入力します。 パスワードには、小文字と大文字のアルファベット、数字、記号を含める必要があります。

    パスワードの確認を求められたら、新しいパスワードをもう一度入力します。 詳細については、「既定の特権ユーザー」を参照してください。

  4. パスワードを変更すると、Sensor Config ウィザードが自動的に起動されます。 手順 5 に進みます。

    次回以降ログインする場合は、手順 4 に進みます。

  5. Sensor Config ウィザードを起動するには、プロンプトで「network reconfigure」と入力します。 cyberx ユーザーを使用している場合は、「ERSPAN=1 python3 -m cyberx.config.configure」と入力します。

  6. Sensor Config 画面に、インターフェイスの現在のセットアップが表示されます。 1 つのインターフェイスが管理インターフェイスとして設定されていることを確認します。 このウィザードでは、上矢印または下矢印を使って移動し、SPACE バーでオプションを選びます。 Enter キーを押して、次の画面に進みます。

    構成するインターフェイスを選びます。次に例を示します。

    [Select monitor interfaces] 画面のスクリーンショット。

  7. Select type 画面で、このインターフェイスの新しい構成の種類を選びます。

重要

接続されているインターフェイスのみを選択してください。

有効になっているが接続されていないインターフェイスを選択した場合、センサーは、Azure portal に [No traffic monitored] (トラフィック監視なし) 正常性通知を表示します。 インストール後、さらに多くのトラフィック ソースを接続し、Defender for IoT で監視する場合は、CLI を使用してそれらを後から追加できます。

インターフェイスは、[管理][監視][トンネル][未使用] のいずれかに設定できます。 [未使用] インターフェイスは、一時的な設定として、リセットするため、または元の設定で間違いがあった場合に設定することをお勧めします。

  1. [管理] インターフェイスを構成するには、次の手順を行います。

    1. インターフェイスを選びます。

    2. [管理] を選択します。

    3. センサーの [IP アドレス][DNS サーバー]、既定の [ゲートウェイ] IP アドレスを入力します。

      [管理] インターフェイスの画面のスクリーンショット。

    4. 戻るを選択します。

  2. [監視] インターフェイスを構成するには、次の手順を行います。

    1. インターフェイスを選びます。
    2. [モニター] を選択します。 [センサーの構成] 画面が更新されます。

  3. [ERSPAN] インターフェイスを構成するには、次の手順を行います。

    1. [種類] を選択します。
    2. [ERSPAN] を選択します。
    3. 確認 を選択します。

  4. インターフェイスを [未使用] として構成するには、次の手順を行います。

    1. インターフェイスを選びます。
    2. 既存の状態を選びます。
    3. [未使用] を選択します。 [センサーの構成] 画面が更新されます。

  5. すべてのインターフェイスを構成したら、[保存] を選択します。

自動バックアップ フォルダーの場所

バックアップ フォルダーは、センサーによって自動的に作成されます。 マウントされたバックアップの場所を変更するには、次の手順を行う必要があります。

  1. 管理者 ユーザーを使用してセンサーにログインします。
  2. CLI インターフェイスにコード system backup path を入力し、パスの場所 (例: /opt/sensor/backup) を追加します。
  3. バックアップは自動的に実行されます。これには、最大 1 分かかる場合があります。

Note

初期セットアップ中、ERSPAN 監視ポートのオプションを使用できるのは、ブラウザー ベースの手順のみです。

CLI を使用してネットワークの詳細を定義し、ERSPAN 監視ポートを設定する場合は、後でセンサーの [設定] > [インターフェイス接続] ページから実行します。 詳細については、「センサーの監視インターフェイスを更新する (ERSPAN を構成する)」を参照してください。

次のステップ

« OT センサー ソフトウェアのインストールを検証する

OT センサーでプロキシ設定を構成する »