Defender for IoT での OT 監視のためのオンプレミス ユーザーおよびロール

  • [アーティクル]

OT ネットワークを操作する場合は、Azure に加えて、オンプレミスの OT ネットワーク センサーやオンプレミスのセンサー管理コンソールからも Defender for IoT のサービスおよびデータを使用できます。

この記事では、次の内容について説明します。

  • Defender for IoT ソフトウェアのインストールに付属する既定の特権ユーザーの説明
  • OT ネットワーク センサーとオンプレミス管理コンソールの両方で、オンプレミス ユーザー ロールごとに使用できるアクションのリファレンス

重要

現在、Defender for IoT では、中央監視とセンサー管理に Microsoft クラウド サービスまたは既存の IT インフラストラクチャを使用することを推奨しており、2025 年 1 月 1 日オンプレミス管理コンソールを廃止する予定です。

詳細については、「ハイブリッドまたはエアギャップ OT センサーの管理をデプロイする」を参照してください。

既定の特権オンプレミス ユーザー

既定では、各センサーは CLI などのトラブルシューティングとセットアップのための高度なツールにアクセスできる既定の特権権限を持つ管理者ユーザーと共にインストールされます。

センサーを最初に設定するときは、管理者ユーザーでサインインし、管理者ロールを持つ初期ユーザーを作成してから、その管理者ユーザーを使用して他のロールを持つ他のユーザーを作成します。

詳細については、以下を参照してください:

レガシ ユーザー

レガシ シナリオ 説明
23.2.0 よりも前のバージョンのセンサー 23.2.0 よりも前のバージョンのセンサーでは、既定の管理者ユーザーは support という名前になります。 サポートユーザーは、23.2.0 より前のバージョンでのみ使用でき、サポートされます。

ドキュメントでは、ソフトウェアの最新バージョンと一致する管理者ユーザーを参照しています。
23.1.x より前のバージョンのセンサー ソフトウェア 23.1.x より前のバージョンのセンサー ソフトウェアでは、特権ユーザーの cyberxcyberx_host も使用されています。

新しくインストールされたバージョン 23.1.x 以降では、"cyberx" ユーザーと "cyberx_host" ユーザーを使用できますが、既定では有効になっていません。

これらの追加の特権ユーザーを有効にするには (Defender for IoT CLI を使用する場合など)、そのパスワードを変更します。 詳細については、「センサーへの特権アクセスを回復する」を参照してください。
オンプレミスの管理コンソール オンプレミス管理コンソールは、特権ユーザーの supportcyberx ユーザーと共にインストールされます。

オンプレミス管理コンソールを最初に設定するときは、まず support ユーザーでサインインし、管理者ロールを持つ初期ユーザーを作成してから、その管理者ユーザーを使用して他のロールを持つ他のユーザーを作成します。

特権ユーザーごとのアクセス

次の表では、レガシ ユーザーを含む各特権ユーザーが使用できるアクセス権について説明します。

名前 [接続先] アクセス許可
admin OT センサーの configuration shell 次のアクセス権を持つ強力な管理アカウント。
- すべての CLI コマンド
- ログ ファイルを管理する機能
- サービスを開始および停止する

このユーザーは、ファイル システムにはアクセスできません。 従来のソフトウェア バージョンでは、このユーザー support という名前になります。
サポート オンプレミス管理コンソールの configuration shell
このユーザーは、レガシ センサーのバージョンにも存在します		 次のアクセス権を持つ強力な管理アカウント。
- すべての CLI コマンド
- ログ ファイルを管理する機能
- サービスを開始および停止する

このユーザーは、ファイル システムにはアクセスできません
cyberx OT センサーまたはオンプレミス管理コンソールの terminal (root) ルート ユーザーとして機能し、アプライアンスに対する無制限の特権を持ちます。

次のタスクにのみ使用されます。
- 既定のパスワードの変更
- トラブルシューティング
- ファイル システムへのアクセス
cyberx_host OT センサーのホスト OS terminal (root) ルート ユーザーとして機能し、アプライアンス ホスト OS に対する無制限の特権を持ちます。

次に使用されます。
- ネットワークの構成
- アプリケーション コンテナー制御
- ファイル システムへのアクセス

オンプレミス ユーザー ロール

OT ネットワーク センサーとオンプレミス管理コンソールでは、次のロールを使用できます。

Role 説明
管理者 管理者ユーザーは、すべてのツール (システム構成、ユーザーの作成と管理などを含む) にアクセスできます。
セキュリティ アナリスト セキュリティ アナリストには、構成のための管理者レベルのアクセス許可はありませんが、デバイスに対してアクションを実行したり、アラートを確認したり、調査ツールを使用したりできます。

セキュリティ アナリストは、センサーの [検出] および [分析] メニューや、オンプレミス管理コンソールの [ナビゲーション] および [解析] メニューに表示されたセンサーに関するオプションにアクセスできます。
読み取り専用 読み取り専用ユーザーは、デバイス マップ上にアラートやデバイスを表示するなどのタスクを実行します。

読み取り専用ユーザーは、センサーの [検出] および [分析] メニュー (読み取り専用モード) や、オンプレミス管理コンソールの [ナビゲーション] メニューに表示されたオプションにアクセスできます。

OT 監視システムを最初にデプロイする場合は、前に説明した既定の特権ユーザーのいずれかを使用して、センサーとオンプレミス管理コンソールにサインインします。 最初の管理者ユーザーを作成してから、そのユーザーを使用してその他のユーザーを作成し、それらのユーザーをロールに割り当てます。

各ロールに適用されるアクセス許可は、センサーとオンプレミス管理コンソールの間で異なります。 詳細については、センサーオンプレミス管理コンソールで、ロールごとに使用できるアクセス許可に関する下の表を参照してください。

OT ネットワーク センサーのためのロールベースのアクセス許可

アクセス許可 [読み取り専用] セキュリティ アナリスト [Admin]
ダッシュボードの表示
マップ拡大表示の制御 - -
アラートを表示する
アラートの管理: 確認、学習、ミュート -
タイムラインでのイベントの表示
デバイスの認可、既知のスキャン デバイス、プログラミング デバイス -
デバイスのマージと削除 - -
調査データの表示
システム設定の管理 - -
ユーザーの管理 - -
パスワードを変更する - - *
逆引き参照用の DNS サーバー - -
アラート データのパートナーへの送信 -
アラート コメントの作成 -
プログラミング変更履歴の表示
カスタマイズしたアラート ルールの作成 -
複数の通知の同時管理 -
証明書の管理 - -

注意

管理者ユーザーは、自分自身またはセキュリティ アナリストおよび読み取り専用ロールを持つ他のユーザーのパスワードのみを変更できます。

オンプレミス管理コンソールのためのロールベースのアクセス許可

アクセス許可 [読み取り専用] セキュリティ アナリスト [Admin]
エンタープライズ マップの表示とフィルター処理
サイトの構築 - -
サイトの管理 (ゾーンの追加と編集) - -
デバイス インベントリの表示とフィルター処理
アラートの表示と管理: 確認、学習、ミュート
レポートの生成 -
リスク評価レポートの表示 -
アラート除外の設定 -
アクセス グループの表示または定義 - -
システム設定の管理 - -
ユーザーの管理 - -
パスワードを変更する - - *
アラート データのパートナーへの送信 - -
証明書の管理 - -

注意

管理者ユーザーは、自分自身またはセキュリティ アナリストおよび読み取り専用ロールを持つ他のユーザーのパスワードのみを変更できます。

次のステップ

詳細については、次を参照してください。