次の方法で共有


オンプレミスの OT アラート情報を転送する

Microsoft Defender for IoT アラートは、ネットワークのログに記録されるイベントに関するリアルタイムの詳細情報を使用して、ネットワークのセキュリティと運用を強化します。 注意が必要なネットワーク トラフィック内の変化や疑わしいアクティビティが OT ネットワーク センサーによって検出されると、OT アラートがトリガーされます。

この記事では、OT センサーまたはオンプレミス管理コンソールを構成して、アラートをパートナー サービス、syslog サーバー、電子メール アドレスなどに転送する方法について説明します。 転送されたアラート情報には、次のような詳細が含まれます。

  • アラートの日付と時刻
  • イベントを検出したエンジン
  • アラートのタイトルと説明メッセージ
  • アラートの重大度
  • 送信元と送信先の名前と IP アドレス
  • 検出された疑わしいトラフィック
  • 切断されたセンサー
  • リモート バックアップの失敗

注意

転送アラート ルールは、転送ルールの作成後にトリガーされたアラートに対してのみ実行されます。 転送ルールが作成される前にシステムに既に存在していたアラートは、ルールの影響を受けません。

前提条件

OT センサーで転送ルールを作成する

  1. OT センサーにサインインし、左側のメニューの[転送]>[+ 新しいルールの作成] を選択します。

  2. [転送ルールの追加] ウィンドウで、わかりやすいルール名を入力し、次のようにルールの条件とアクションを定義します。

    名前 説明
    最小アラート レベル 転送する最小のアラート重大度レベルを選択します。

    たとえば、[マイナー] を選択すると、マイナー アラートおよびこの重大度レベルよりも上のすべてのアラートが転送されます。
    検出された任意のプロトコル オンにしてすべてのプロトコル トラフィックからアラートを転送するか、オフにして、含める特定のプロトコルを選択します。
    任意のエンジンによって検出されたトラフィック オンにしてすべての分析エンジンからアラートを転送するか、オフにして、含める特定のエンジンを選択します。
    アクション アラートを転送する先のサーバーの種類を選択し、そのサーバーの種類に必要なその他の情報を定義します。

    同じルールに複数のサーバーを追加するには、 [+ サーバーの追加] を選択し、詳細を追加します。

    詳細については、「アラート転送ルール アクションを構成する」を参照してください。
  3. ルールの構成が完了したら、[保存] を選択します。 ルールが [転送] ページに表示されます。

  4. 作成したルールをテストします。

    1. ルールのオプション メニュー (...) >[テスト メッセージの送信] を選択します。
    2. ターゲット サービスにアクセスして、センサーから送信された情報が受信されていることを確認します。

OT センサーで転送ルールを編集または削除する

既存のルールを編集または削除するには、次の手順を実行します。

  1. OT センサーにサインインし、左側メニューの [転送] を選択します。

  2. ルールのオプション メニュー (...) を選択し、次のいずれかの操作を行います。

オンプレミス管理コンソールで転送ルールを作成する

管理コンソールで転送ルールを作成するには:

  1. オンプレミス管理コンソールにサインインし、左側メニューの [転送] を選択します。

  2. 右上にある + ボタンを選択して、新しいルールを作成します。

  3. [転送ルールの作成] ウィンドウで、ルールのわかりやすい名前を入力し、次のようにルールの条件とアクションを定義します。

    名前 説明
    最小アラート レベル ダイアログの右上にあるドロップダウン リストを使用して、転送する最小のアラート重大度レベルを選択します。

    たとえば、[マイナー] を選択すると、マイナー アラートおよびこの重大度レベルよりも上のすべてのアラートが転送されます。
    プロトコル すべてのプロトコル トラフィックからアラートを転送するには [すべて] を選択し、特定のプロトコルのみを追加するには [Specific] (特定) を選択します。
    エンジン すべてのセンサー分析エンジンによってトリガーされたアラートを転送するには [すべて] を選択し、特定のエンジンのみを追加するには [Specific] (特定) を選択します。
    システム通知 [システム通知の報告] オプションを選択して、切断されたセンサーまたはリモート バックアップの失敗について通知します。
    アラート通知 アラートの日付と時刻、タイトル、重大度、送信元と送信先の名前と IP アドレス、疑わしいトラフィック、およびイベントを検出したエンジンについて通知するには、[Report Alert Notifications] (アラート通知の報告) オプションを選択します。
    アクション 適用するアクションを追加するには、[追加] を選択し、選択したアクションに必要なパラメーター値を入力します。 複数のアクションを追加するには、必要に応じてこの操作を繰り返します。

    詳細については、「アラート転送ルール アクションを構成する」を参照してください。
  4. ルールの構成が完了したら、[保存] を選択します。 ルールが [転送] ページに表示されます。

  5. 作成したルールをテストします。

    1. ルールの行で、[test this forwarding rule] (この転送ルールをテストする) ボタンを選択します。 メッセージが正常に送信されると、成功通知が表示されます。
    2. パートナーのシステムにアクセスして、センサーから送信された情報が受信されていることを確認します。

オンプレミス管理コンソールで転送ルールを編集または削除する

既存のルールを編集または削除するには、次の手順を実行します。

  1. オンプレミス管理コンソールにサインインし、左側メニューの [転送] を選択します。

  2. ルールの行を見つけて、[編集] または [削除] ボタンを選択します。

アラート転送ルール アクションを構成する

このセクションでは、OT センサーまたはオンプレミスの管理コンソールのいずれかで、サポートされている転送ルール アクションの設定を構成する方法について説明します。

電子メール アドレスのアクション

アラート データを構成済みの電子メール アドレスに転送するには、[電子メール] アクションを構成します。

[アクション] 領域で、次の詳細を入力します。

名前 説明
[サーバー] [電子メール] を選択します。
Email アラートを転送する先の電子メール アドレスを入力します。 ルールごとに、1 つの電子メール アドレスがサポートされます。
タイム ゾーン ターゲット システムのアラート検出に使用するタイム ゾーンを選択します。

Syslog サーバーのアクション

選択した種類の Syslog サーバーにアラート データを転送するように、Syslog サーバー アクションを構成します。

[アクション] 領域で、次の詳細を入力します。

名前 説明
サーバー 次のいずれかの種類の syslog 形式を選択します。

- SYSLOG サーバー (CEF 形式)
- SYSLOG サーバー (LEEF 形式)
- SYSLOG サーバー (オブジェクト)
- SYSLOG サーバー (テキスト メッセージ)
ホスト / ポート Syslog サーバーのホスト名とポートを入力します
タイム ゾーン ターゲット システムのアラート検出に使用するタイム ゾーンを選択します。
プロトコル テキスト メッセージでのみサポートされます。 [TCP] または [UDP] を選択します。
暗号化を有効にする CEF 形式でのみサポートされます。 オンにして、TLS 暗号化証明書ファイル、キー ファイル、パスフレーズを構成します。

次のセクションでは、各形式の syslog 出力構文について説明します。

Syslog テキスト メッセージの出力フィールド

名前 [説明]
Priority ユーザー。 アラート:
Message CyberX platform name: センサー名。
Microsoft Defender for IoT Alert: アラートのタイトル。
Type: アラートの種類。 [Protocol Violation][Policy Violation][Malware][Anomaly] 、または [Operational] を指定できます。
Severity: アラートの重大度。 [Warning][Minor][Major] 、または [Critical] を指定できます。
Source: 送信元デバイスの名前。
ソース IP: 送信元デバイスの IP アドレス。
Protocol (省略可能): 検出されたソース プロトコル。
Address (省略可能): 同期元プロトコル アドレス。
Destination: 送信先デバイスの名前。
Destination IP: 送信先デバイスの IP アドレス。
Protocol (省略可能): 検出された同期先プロトコル。
Address (省略可能): 同期先プロトコル アドレス。
Message:  アラートのメッセージ。
Alert group: アラートに関連付けられているアラート グループ。
UUID (省略可能): アラートの UUID。

Syslog オブジェクトの出力フィールド

名前 [説明]
優先度 User.Alert
日付と時刻 Syslog サーバー マシンで情報が受信された日付と時刻。
hostname センサーの IP
Message Sensor name: アプライアンスの名前。
Alert time:  アラートが検出された時刻。Syslog サーバー マシンの時刻とは異なる場合があり、転送ルールのタイム ゾーン構成によって決まります。
Alert title: アラートのタイトル。
Alert message: アラートのメッセージ。
Alert severity: アラートの重大度: [Warning][Minor][Major]、または [Critical]
Alert type: [Protocol Violation][Policy Violation][Malware][Anomaly] 、または [Operational]
Protocol: アラートのプロトコル。
Source_MAC: 送信元デバイスの IP アドレス、名前、ベンダー、または OS。
Destination_MAC: 送信先デバイスの IP アドレス、名前、ベンダー、または OS。 データが見つからない場合、この値は [N/A] になります。
alert_group: アラートに関連付けられているアラート グループ。

Syslog CEF の出力フィールド

名前 [説明]
優先度 User.Alert
日付と時刻 センサーが情報を送信した日付と時刻 (UTC 形式)
Hostname (ホスト名) センサーのホスト名
Message CEF:0
Microsoft Defender for IoT/CyberX
センサー名
<センサーのバージョン>
Microsoft Defender for IoT アラート
アラートのタイトル
重要度を表す整数値。 1=警告、4=軽微、8=重大、10=危機的
msg= アラートのメッセージ。
protocol= アラートのプロトコル。
severity= [Warning][Minor][Major]、または [Critical]
type= [Protocol Violation][Policy Violation][Malware][Anomaly]、または [Operational]
UUID: アラートの UUID (省略可能)
start= アラートが検出された時刻。
Syslog サーバー マシンの時刻とは異なる場合があり、転送ルールのタイム ゾーン構成によって決まります。
src_ip= 同期元デバイスの IP アドレス。 (省略可能)
src_mac= 同期元デバイスの MAC アドレス。 (省略可能)
dst_ip= 同期先デバイスの IP アドレス。 (省略可能)
dst_mac= 同期先デバイスの MAC アドレス。 (省略可能)
cat= アラートに関連付けられているアラート グループ。

Syslog LEEF の出力フィールド

名前 [説明]
優先度 User.Alert
日付と時刻 センサーが情報を送信した日付と時刻 (UTC 形式)
hostname センサーの IP
Message センサー名: Microsoft Defender for IoT アプライアンスの名前。
LEEF:1.0
Microsoft Defender for IoT
センサー
<センサーのバージョン>
Microsoft Defender for IoT アラート
title: アラートのタイトル。
msg: アラートのメッセージ。
protocol: アラートのプロトコル。
severity: [Warning][Minor][Major]、または [Critical]
type: アラートの種類: [Protocol Violation][Policy Violation][Malware][Anomaly]、または [Operational]
start: アラートの時刻。 Syslog サーバー マシンの時刻とは異なる場合があり、タイム ゾーン構成によって決まります。
src_ip: 送信元デバイスの IP アドレス。
dst_ip: 送信先デバイスの IP アドレス。
cat: アラートに関連付けられているアラート グループ。

Webhook サーバー アクション

オンプレミス管理コンソールのみからサポートされます

Defender for IoT アラート イベントをサブスクライブする統合を構成するには、Webhook アクションを構成します。 たとえば、Webhook サーバーにアラート データを送信して、外部 SIEM システム、SOAR システム、またはインシデント管理システムを更新します。

アラートを Webhook サーバーに転送するように構成しているときに、アラート イベントがトリガーされると、オンプレミス管理コンソールでは、構成済みの Webhook URL に HTTP POST ペイロードを送信します。

[アクション] 領域で、次の詳細を入力します。

名前 説明
[サーバー] [Webhook] を選択します。
URL Webhook サーバーの URL を入力します。
キー/値 キーと値のペアを入力して、必要に応じて HTTP ヘッダーをカスタマイズします。 サポートされている文字は次のとおりです。
- キーには、文字、数字、ダッシュ、およびアンダースコアのみを含めることができます。
- には、先頭または末尾にスペースを 1 つだけ含めることができます。

Webhook 拡張

オンプレミス管理コンソールのみからサポートされます

Webhook 拡張アクションを構成して、次の追加データを Webhook サーバーに送信します。

  • sensorID
  • sensorName
  • zoneID
  • zoneName
  • siteID
  • siteName
  • sourceDeviceAddress
  • destinationDeviceAddress
  • remediationSteps
  • handled
  • additionalInformation

[アクション] 領域で、次の詳細を入力します。

名前 説明
[サーバー] [Webhook 拡張] を選択します。
URL エンドポイント データ URL を入力します。
キー/値 キーと値のペアを入力して、必要に応じて HTTP ヘッダーをカスタマイズします。 サポートされている文字は次のとおりです。
- キーには、文字、数字、ダッシュ、およびアンダースコアのみを含めることができます。
- には、先頭または末尾にスペースを 1 つだけ含めることができます。

NetWitness のアクション

NetWitness サーバーにアラート情報を送信するように NetWitness アクションを構成します。

[アクション] 領域で、次の詳細を入力します。

名前 説明
[サーバー] [NetWitness] を選択します。
ホスト名/ポート NetWitness サーバーのホスト名とポートを入力します。
タイム ゾーン SIEM でのアラート検出用のタイム スタンプで使用するタイム ゾーンを入力します。

パートナー統合の転送ルールを構成する

Defender for IoT をパートナー サービスと統合して、アラートまたはデバイス インベントリ情報を別のセキュリティまたはデバイス管理システムに送信したり、パートナー側のファイアウォールと通信したりする場合があります。

パートナー統合を行うと、以前はサイロ化していたセキュリティ ソリューションをブリッジし、デバイスの可視性を向上させ、システム全体の応答を速めて、リスクをより迅速に軽減できます。

このような場合は、サポートされる [アクション] を使って、統合パートナー サービスとの通信に必要な資格情報や他の情報を入力します。

詳細については、以下を参照してください:

パートナー サービスでアラート グループを構成する

Syslog サーバー、QRadar、ArcSight にアラート データを送信するように転送ルールを構成すると、 "アラート グループ" が自動的に適用され、それらのパートナー サーバーで使用できるようになります。

"アラート グループ" は、SOC チームがこれらのパートナー ソリューションを使用して、エンタープライズ セキュリティ ポリシーとビジネスの優先順位に基づいてアラートを管理するのに役立ちます。 たとえば、新しい検出に関するアラートは 1 つの "検出" グループに編成され、これには新しいデバイス、VLAN、ユーザー アカウント、MAC アドレスなどに関するアラートが含まれます。

アラート グループは、次のプレフィックスを持つパートナー サービスに表示されます。

Prefix パートナー サービス
cat QRadarArcSightSyslog CEFSyslog LEEF
Alert Group Syslog テキスト メッセージ
alert_group Syslog オブジェクト

統合でアラート グループを使用するには、アラート グループ名を表示するようにパートナー サービスを構成してください。

既定では、アラートは次のようにグループ化されます。

  • 異常な通信動作
  • カスタム アラート
  • リモート アクセス
  • 異常な HTTP 通信動作
  • 検出
  • 再起動コマンドと停止コマンド
  • 認証
  • ファームウェアの変更
  • スキャン
  • 未認可の通信動作
  • 無効なコマンド
  • センサー トラフィック
  • 帯域幅の異常
  • インターネットへのアクセス
  • マルウェアの疑い
  • バッファー オーバーフロー
  • 操作の失敗
  • 悪意のあるアクティビティの疑い
  • コマンドの失敗
  • 操作上の問題
  • 構成の変更
  • プログラミング

詳細について、およびカスタム アラート グループを作成するには、Microsoft サポートにお問い合わせください。

転送ルールのトラブルシューティング

転送アラート ルールが期待どおりに動作しない場合は、次の詳細を確認してください。

  • 証明書の検証Syslog CEFMicrosoft Sentinel、および QRadar の転送ルールでは、暗号化と証明書の検証がサポートされます。

    OT センサーまたはオンプレミス管理コンソールが証明書を検証するように構成されているときに、証明書を検証できない場合、アラートは転送されません。

    このような場合、センサーまたはオンプレミス管理コンソールがセッションのクライアントかつイニシエーターとなります。 証明書は通常、サーバーから受信されます。そうでなければ、統合をセットアップするための特定の証明書が提供される非対称暗号化を使用します。

  • アラートの除外ルール。 オンプレミス管理コンソールで除外ルールが構成されている場合、転送しようとしているアラートがセンサーで無視される可能性があります。 詳細については、「オンプレミス管理コンソールでアラート除外ルールを作成する」を参照してください。

次のステップ