Microsoft Defender for IoT のしくみ
このユニットでは、Microsoft Defender for IoT が背後でどのように動作するかについて説明します。
柔軟なデプロイ
Defender for IoT では、複数の柔軟なデプロイ ソリューションがサポートされています。
- クラウド デプロイ: 物理アプライアンスまたは仮想アプライアンスにデプロイされた OT センサーを、Azure portal で Defender for IoT に接続します。 Azure portal を使ってセンサーとセンサー データを管理し、Microsoft Sentinel などの他の Microsoft サービスと統合します。
- エアギャップされたネットワーク: Defender for IoT を完全にオンプレミスでデプロイし、オンプレミスのセキュリティ情報イベント管理 (SIEM) システムに接続します。 Microsoft Sentinel と直接統合したり、Splunk、IBM QRadar、ServiceNow などのさまざまなパートナー SOC ツールと統合したりできます。
- ハイブリッド デプロイ: ハイブリッド環境で作業する場合、オンプレミスのセンサーをローカルで管理しながら、Microsoft Sentinel などのクラウドベース SIEM に接続できます。
Defender for IoT センサー
Defender for IoT センサーは、仮想アプライアンスまたは物理アプライアンスとしてオンプレミスに展開されます。 ネットワーク デバイスを検出して継続的に監視し、産業用制御システム (ICS) ネットワーク トラフィックを収集します。
センサーでは、IoT/OT デバイスに対してパッシブ (または "エージェントレス") の監視が使用されます。 センサーは SPAN ポートまたはネットワーク TAP に接続され、IoT/OT ネットワーク トラフィックに対するディープパケット インスペクションを実行します。
すべてのデータ収集、処理、分析、アラートはセンサー マシン上で直接行われるため、接続の帯域幅が狭かったり待機時間が長かったりする場所に最適です。 メタデータのみが管理のために Azure portal に転送されます。
次の図は、センサー コンソールの [アラート] ページのサンプル スクリーンショットを示しています。 このセンサーに接続されているデバイスによってトリガーされたアラートが表示されています。
Defender for IoT 機械学習エンジン
Defender for IoT の自己学習 (または "機械学習") 分析エンジンを使うと、署名を更新したり、ルールを定義したりする必要がなくなります。 Defender for IoT エンジンでは、ICS 固有の行動分析とデータ サイエンスを使用して、OT ネットワーク トラフィックに関する以下が継続的に分析されます。
- 異常。
- [マルウェア]。
- 操作上の問題。
- プロトコル違反。
- ベースライン ネットワーク アクティビティの逸脱。
Defender for IoT センサーには、リアルタイム トラフィックと事前に記録されたトラフィックの両方の分析に基づいてアラートをトリガーする、5 つの分析検出エンジンも含まれています。
- ポリシー違反検出エンジン: 機械学習を使用して、ベースライン動作の逸脱に関するアラートを生成します。たとえば、特定の関数コードの承認されていない使用、特定のオブジェクトへのアクセス、デバイス構成の変更などです。 例としては、"DeltaV ソフトウェアのバージョンの変更"、ファームウェアの変更、承認されていない PLC プログラミングのアラートなどがあります。
- プロトコル違反検出エンジン: ICS プロトコル仕様に違反するパケット構造とフィールド値の使用を特定します。 例としては、Modbus 例外や古い関数コードの開始のアラートなどがあります。
- マルウェア検出エンジン: 既知の産業用マルウェアの存在を示す動作を特定します。 例としては、Conficker、Black Energy、Havex、WannaCry、NotPetya、Triton などがあります。
- 異常検出エンジン: 異常なマシン間通信と動作を検出します。 たとえば、過剰な SMB サインインの試行や PLC スキャンなどです。
- 操作上のインシデント検出エンジン: 機器障害の初期兆候を示す可能性がある、断続的な接続などの操作上の問題を特定します。 たとえば、デバイスが応答せず、切断されている可能性がある場合、Siemens S7 stop PLC コマンドを使ってアラートが送信される場合があります。