OT ネットワーク センサーで脅威インテリジェンス パッケージを維持する

  • [アーティクル]

Microsoft のセキュリティ チームは、独自の ICS 脅威インテリジェンスおよび脆弱性調査を継続的に実施しています。 セキュリティ調査によって、Microsoft のクラウド インフラストラクチャとサービス、従来の製品とデバイス、内部企業リソースに対するセキュリティ検出、分析、対応が行われます。

Microsoft Defender for IoT では、OT ネットワーク センサー用の脅威インテリジェンス パッケージの更新プログラムが定期的に提供され、これによって、関連する既知の脅威からの保護が強化され、またチームがアラートのトリアージと優先順位付けを行うのに役立つ分析情報が得られます。

脅威インテリジェンス パッケージには、署名 (マルウェア署名を含む)、CVE、およびその他のセキュリティ コンテンツが含まれています。

表示される CVE スコアは、National Vulnerability Database (NVD) と一致し、CVSS v3 スコアが関連する場合は表示されます。 関連する CVSS v3 スコアがない場合は、代わりに CVSS v2 スコアが表示されます。

ヒント

OT ネットワーク センサーに最新の脅威インテリジェンス パッケージが常にインストールされていることを確認し、環境が影響を受ける前に常に脅威の完全なコンテキストを押さえ、関連性や精度を高め、実行可能な推奨事項を適用することをお勧めします。

新しいパッケージに関するお知らせは、テクニカルコミュニティのブログから入手できます。

アクセス許可

この記事の手順を実行する前に、次のものがあることを確認してください。

  • Azure にオンボードされた 1 つ以上の OT センサー。

  • Azure portal、および更新する OT ネットワーク センサーまたはオンプレミス管理コンソールでの関連するアクセス許可。

    • Azure portal から脅威インテリジェンス パッケージをダウンロードするにはセキュリティ閲覧者セキュリティ管理者共同作成者、または所有者ロールとして、Azure portal にアクセスする必要があります。

    • Azure portal からクラウド接続 OT センサーに脅威インテリジェンスの更新プログラムをプッシュするにはセキュリティ管理者共同作成者、または所有者ロールとして Azure portal にアクセスする必要があります。

    • 脅威インテリジェンス パッケージを OT センサーまたはオンプレミス管理コンソールに手動でアップロードするには、OT センサーまたはオンプレミス管理コンソールに管理者ユーザーとしてアクセスする必要があります。

詳細については、「Defender for IoT の Azure ユーザー ロールとアクセス許可」および「Defender for IoT での OT 監視のためのオンプレミス ユーザーおよびロール」を参照してください。

最新の脅威インテリジェンス パッケージを表示する

Defender for IoT から入手できる最新のパッケージを確認するには:

Azure portal で、[サイトとセンサー]>[脅威インテリジェンスの更新 (プレビュー)]>[ローカル更新] を選択します。 利用可能な最新のパッケージの詳細は、[センサー TI 更新] ウィンドウに表示されます。 次に例を示します。

Screenshot of the Sensor TI update pane with the most recent threat intelligence package.

脅威インテリジェンス パッケージを更新する

次のいずれかの方法を使用して、OT センサーの脅威インテリジェンス パッケージを更新します。

  • 更新プログラムがリリースされたら、クラウド接続 OT センサーに、自動的にその更新プログラムがプッシュされるようにします。
  • クラウド接続 OT センサーに更新プログラムを手動でプッシュします。
  • 更新プログラム パッケージをダウンロードし、OT センサーに手動でアップロードします。 または、パッケージをオンプレミスの管理コンソールにアップロードし、そこから接続されている OT センサーに更新プログラムをプッシュします。

クラウドに接続されたセンサーに更新プログラムを自動でプッシュする

Defender for IoT によって脅威インテリジェンス パッケージがリリースされたら、そのパッケージでクラウド接続センサーを自動的に更新できます。

パッケージで自動更新されるようにするには、[脅威インテリジェンスの自動更新] オプションを有効にしてクラウド接続センサーをオンボードします。 詳細については、「Defender for IoT に OT センサーをオンボードする」を参照してください。

OT センサーをオンボードした後で更新モードを変更するには:

  1. Azure portal の Defender for IoT で、[サイトとセンサー] を選択し、変更するセンサーを見つけます。
  2. 選択した OT センサーのオプション ([...]) メニュー >[編集] を選択します。
  3. 必要に応じて、[自動脅威インテリジェンスの自動更新] オプションをオンまたはオフに切り替えます。

クラウドに接続されたセンサーに更新プログラムを手動でプッシュする

お使いのクラウド接続センサーを、脅威インテリジェンス パッケージで自動的に更新できます。 ただし、より保守的なアプローチを使用したい場合は、必要と思われるときにのみ、Defender for IoT からセンサーにパッケージをプッシュすることができます。 更新プログラムを手動でプッシュすることにより、パッケージをインストールするタイミングを制御できます。これをダウンロードしてご自分のセンサーにアップロードする必要はありません。

更新プログラムを 1 つの OT センサーに手動でプッシュするには:

  1. Azure portal の Defender for IoT で、[サイトとセンサー] を選択し、更新する OT センサーを見つけます。
  2. 選択したセンサーのオプション ([...]) を選択し、[脅威インテリジェンスの更新をプッシュ] を選択します。

[脅威インテリジェンスの更新状態] フィールドに更新の進行状況が表示されます。

更新プログラムを複数の OT センサーに手動でプッシュするには:

  1. Azure portal の Defender for IoT で、[サイトとセンサー] を選びます。 更新する OT センサーを見つけて選択します。
  2. [脅威インテリジェンスの更新 (プレビュー)]>[リモート更新] の順に選択します。

[脅威インテリジェンスの更新状態] フィールドに、選択した各センサーの更新の進行状況が表示されます。

ローカルで管理されているセンサーを手動で更新する

ローカルで管理されている OT センサーを使用している場合は、更新された脅威インテリジェンス パッケージをダウンロードし、センサーに手動でアップロードする必要があります。

オンプレミス管理コンソールも使用している場合は、脅威インテリジェンス パッケージをオンプレミス管理コンソールにアップロードし、そこから更新プログラムをプッシュすることをお勧めします。

ヒント

このオプションは、Azure portal から更新プログラムをプッシュしたくない場合に、クラウドに接続されたセンサーにも使用できます。

脅威インテリジェンス パッケージをダウンロードするには:

  1. Azure portal の Defender for IoT で、[サイトとセンサー]>[脅威インテリジェンスの更新 (プレビュー)]>[ローカル更新] の順に選択します。

  2. [センサー TI 更新] ウィンドウで [ダウンロード] を選択して、最新の脅威インテリジェンス ファイルをダウンロードします。

Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されているため、マシンは署名された資産のみを使用します。

1 つのセンサーを更新するには:

  1. OT センサーにサインインし、[システム設定]>[脅威インテリジェンス] の順に選択します。

  2. [脅威インテリジェンス] ペインで、[ファイルのアップロード] を選択します。 次に例を示します。

    Screenshot of where you can upload Threat Intelligence package to a single sensor.

  3. Azure portal からダウンロードしたパッケージを参照して選択し、それをセンサーにアップロードします。

複数のセンサーに同時に更新するには:

  1. オンプレミス管理コンソールにサインインし、[システム設定] を選択します。

  2. [センサー エンジンの構成] 領域で、更新されたパッケージを受信するセンサーを選択します。 次に例を示します。

    Screenshot of where you can select which sensors you want to make changes to.

  3. [センサーの脅威インテリジェンス データ] セクションで、プラス記号 (+) を選択します。

  4. [ファイルのアップロード] ダイアログで、[ファイルの参照...] を選択して、更新プログラム パッケージを参照して選択します。 次に例を示します。

    Screenshot of where you can upload a Threat Intelligence package to multiple sensors.

  5. [閉じる][変更の保存] の順に選択して、脅威インテリジェンスの更新を選択されたすべてのセンサーにプッシュします。

    Screenshot of where you can save changes made to selected sensors on the management console.

脅威インテリジェンスの更新状態を確認する

各 OT センサーでは、脅威インテリジェンスの更新状態とバージョン情報がセンサーの [システム設定] > [脅威インテリジェンス] 設定に表示されます。

クラウドに接続された OT センサーの場合、脅威インテリジェンス データは [サイトとセンサー] ページにも表示されます。 Azure portal から脅威インテリジェンスの状態を表示するには:

  1. Azure portal の Defender for IoT で、[サイトとセンサー] を選びます。

  2. 脅威インテリジェンスの状態を確認する OT センサーを見つけます。

  3. OT センサーの次の列の値に注目してください。

    列名 説明
    脅威インテリジェンスのバージョン バージョン名は、パッケージが Defender for IoT によって差作成された日付に基づいています。
    脅威インテリジェンス モード [自動] は、使用可能な新しいパッケージが Defender for IoT によってリリースされると、それがセンサーに自動的にインストールされることを示しています。

    [手動] は、使用可能な新しいパッケージを必要に応じてセンサーに直接プッシュできることを示しています。
    脅威インテリジェンスの更新状態 次のいずれかの状態が表示されます。
    - 失敗
    - 進行中
    - 更新プログラムが利用可能
    - OK

ヒント

クラウドに接続された OT センサーで脅威インテリジェンスの更新に失敗したことが示されている場合は、センサー接続の詳細を確認することをお勧めします。 [サイトとセンサー] ページで、[センサーの状態] 列と [最後に接続された UTC] 列を確認します。

次のステップ

詳細については、次を参照してください。