検出されたデバイス インベントリを確認して更新する
この記事は、Microsoft Defender for IoT を使用したオペレーショナル テクノロジ (OT) 監視のデプロイ パスについて説明する一連の記事の 1 つであり、デバイス インベントリを確認し、微調整したデバイスの詳細を使用してセキュリティ監視を強化する方法について説明します。
前提条件
この記事の手順を実行する前に、次のものがあることを確認してください。
OT センサーがインストール、構成、およびアクティブ化済みで、デバイス データが検出されていること。
セキュリティ アナリストまたは管理者ユーザーとして OT センサーにアクセスできること。 詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。
この手順は、デプロイ チームによって実行されます。
OT センサーでデバイス インベントリを表示する
OT センサーにサインインし、[デバイス インベントリ] ページを選択します。
[列の編集] を選択してグリッド レイアウトに変更を加え、各デバイスで検出されたデータを確認するために、より多くのデータ フィールドを表示します。
特に、[名前]、[種類]、[認証]、[スキャナー デバイス]、[プログラミング デバイス] 列のデータを確認することをお勧めします。
デバイス インベントリに一覧表示されているデバイスを確認し、デバイスのプロパティを編集する必要があるデバイスを特定します。
デバイスごとにデバイス プロパティを編集する
デバイス プロパティを編集する必要があるデバイスごとに、次の手順を実行します。
グリッドでデバイスを選択し、[編集] を選択して編集ペインを表示します。 次に例を示します。
必要に応じて、次の任意のデバイス プロパティを編集します。
名前 説明 認可されているデバイス デバイスがネットワーク上の既知のエンティティである場合に選択します。 Defender for IoT は、認可済みのデバイスで検出されたトラフィックに対するアラートをトリガーしません。 名前 既定では、デバイスの IP アドレスとして表示されます。 必要に応じて、デバイスのわかりやすい名前に更新してください。 説明 既定では空白のままになります。 必要に応じて、デバイスのわかりやすい説明を入力してください。 OS プラットフォーム オペレーティング システムの値の検出がブロックされている場合は、ドロップダウン リストからデバイスのオペレーティング システムを選択します。 Type デバイスの種類の検出がブロックされているか、変更する必要がある場合は、ドロップダウン リストからデバイスの種類を選択します。 詳しくは、「サポートされるデバイス」をご覧ください。 Purdue レベル デバイスの Purdue レベルが [未定義] または [自動] であると検出された場合は、別のレベルを選択してデータを微調整することをお勧めします。 詳細については、「OT センサーをネットワークに配置する」を参照してください。 スキャナー デバイスがスキャン デバイスである場合に選択します。 Defender for IoT は、スキャン デバイスとして定義されているデバイスで検出されたスキャン アクティビティのアラートをトリガーしません。 プログラミング デバイス デバイスがプログラミング デバイスである場合に選択します。 Defender for IoT は、プログラミング デバイスとして定義されているデバイスで検出されたプログラミング アクティビティに対するアラートをトリガーしません。 [保存] を選択して変更を保存します。
重複するデバイスをマージする
デバイス インベントリで検出されたデバイスを確認するときに、ネットワーク上の同じデバイスに対して複数のエントリが検出されたかどうかを確認してください。
たとえば、4 つのネットワーク カードを持つ PLC、WiFi と物理ネットワーク カードの両方を持つラップトップ PC、または複数のネットワーク カードを持つ 1 台のワークステーションがあるときにこれが発生する場合があります。
同じ IP アドレスと MAC アドレスを持つデバイスは自動的にマージされ、同じデバイスとして識別されます。 デバイス インベントリ内の各エントリがネットワーク内の 1 台のみの一意のデバイスを表すように、重複するデバイスをマージすることをお勧めします。
重要
デバイスはマージすると元に戻すことができません。 デバイスを正しくマージできなかった場合は、マージされたデバイスを削除し、センサーが両方のデバイスを再検出するまで待つ必要があります。
複数のデバイスをマージするには、デバイス インベントリで 2 つ以上の認可済みのデバイスを選択し、[マージ] を選択します。
デバイスとそのすべてのプロパティが、デバイス インベントリ内でマージされます。 たとえば、異なる IP アドレスを持つ 2 台のデバイスをマージすると、各 IP アドレスは新しいデバイスの別個のインターフェイスとして表示されます。
デバイス データを拡張する (オプション)
検出された既定のデータよりも詳細な情報を使用して、デバイスの可視性を高め、デバイス データを拡張することが必要な場合があります。
Windows ベースのデバイスに対するデバイスの可視性を高めるには、Defender for IoT の Windows Management Instrumentation (WMI) ツールを使用します。
組織のネットワーク ポリシーによって一部のデータを取り込むことができない場合は、追加のデータを一括でインポートします。