Defender for IoT デバイス インベントリ
Defender for IoT のデバイス インベントリは、製造元、種類、シリアル番号、ファームウェアなど、特定のデバイスに関する詳細を特定するのに役立ちます。 デバイスに関する詳細を収集すると、チームは最も重要な資産を侵害する可能性のある脆弱性を事前に調査するのに役立ちます。
すべてのマネージド デバイスとアンマネージド デバイスを含む最新のインベントリを作成して、すべての IoT/OT デバイスを管理します
リスクベースのアプローチでデバイスを保護 し、不足しているパッチ、脆弱性などのリスクを特定し、リスク スコアリングと自動化された脅威モデリングに基づいて修正プログラムの優先順位を付けます
無関係なデバイスを削除し、組織固有の情報を追加して組織の優先設定を強調するようにインベントリを更新します
次に例を示します。
サポートされているデバイス
Defender for IoT のデバイス インベントリでは、次のデバイス クラスがサポートされています。
| デバイス | 例 ... |
|---|---|
| Manufacturing | 空気圧デバイス、パッケージ システム、産業用パッケージ システム、工業ロボットなどの産業用および運用デバイス |
| Building (建物) | アクセス パネル、監視装置、HVAC システム、エレベーター、スマート照明システム |
| 医療 | 血糖測定器、モニター |
| 運輸 / 電力ガス | ターンスタイル、人数カウンター、モーション センサー、防火安全システム、インターコム |
| エネルギーと資源 | DCS コントローラー、PLC、ヒストリアン デバイス、HMI |
| エンドポイント デバイス | ワークステーション、サーバー、またはモバイル デバイス |
| エンタープライズ | スマート デバイス、プリンター、通信デバイス、またはオーディオ/ビデオ デバイス |
| 小売 | バーコード スキャナー、湿度センサー、タイム レコーダー |
"一時的" デバイスの種類は、短時間だけ検出されたデバイスを示します。 これらのデバイスを慎重に調査して、ネットワークへの影響を理解することをお勧めします。
"未分類" のデバイスとは、それ以外ではすぐに使用できるカテゴリが定義されていないデバイスです。
デバイス管理オプション
Defender for IoT デバイス インベントリは、次の場所にあります。
| 場所 | 説明 | 追加のインベントリ サポート |
|---|---|---|
| Azure Portal | すべてのクラウド接続 OT センサーから OT デバイスが検出されました。 | - Microsoft Sentinel も使用している場合、Microsoft Sentinel のインシデントは Defender for IoT の関連デバイスにリンクされます。 - Defender for IoT ブックを使用して、関連するアラートや脆弱性など、クラウドに接続されているすべてのデバイス インベントリを可視化します。 - Azure サブスクリプションにレガシ Enterprise IoT プランがある場合、Azure portal には、Microsoft Defender for Endpoint エージェントによって検出されたデバイスも含まれます。 Enterprise IoT センサーがある場合、Azure portal には、Enterprise IoT センサーによって検出されたデバイスも含まれます。 |
| Microsoft Defender XDR | Microsoft Defender for Endpoint エージェントによって検出された Enterprise IoT デバイス | 専用のアラート、脆弱性、および推奨事項で、Microsoft Defender XDR 間でデバイスを関連付ける。 |
| OT ネットワーク センサー コンソール | その OT センサーによって検出されたデバイス | - ネットワーク デバイス マップ全体で検出されたすべてのデバイスを表示する - 関連するイベントをイベント タイムラインに表示する |
| オンプレミスの管理コンソール | 接続されているすべての OT センサーで検出されたデバイス | 手動またはスクリプトを使用してデータをインポートしてデバイス データを強化する |
詳細については、次を参照してください。
- Azure portal でデバイス インベントリを管理する
- Defender for Endpoint デバイスの検出
- センサー コンソールから OT デバイス インベントリを管理する
- オンプレミスの管理コンソールから OT デバイスのインベントリを管理する
自動的に統合されたデバイス
複数の OT センサーを使用して Defender for IoT を大規模にデプロイすると、各センサーが同じデバイスの異なる側面を検出する場合があります。 デバイス インベントリでのデバイスの重複を防ぐために、Defender for IoT では、同じゾーン内にあるデバイスが同様の特性の論理的な組み合わせを持っている場合に、同じデバイスであると想定します。 Defender for IoT では、これらのデバイスが自動的に統合され、デバイス インベントリに 1 回だけ一覧表示されます。
たとえば、同じゾーンで検出された同じ IP アドレスと MAC アドレスを持つデバイスは統合され、デバイス インベントリ内の 1 つのデバイスとして識別されます。 定期的な IP アドレスとは別に複数のセンサーによって検出されたデバイスがある場合は、これらのデバイスをそれぞれ個別に識別する必要があります。 このような場合は、異なるゾーンに OT センサーをオンボードして、各デバイスが同じ IP アドレスを持っていても、個別の一意のデバイスとして識別されるようにします。 同じ MAC アドレスを持っているが IP アドレスが異なるデバイスはマージされず、一意のデバイスとして引き続き一覧表示されます。
"一時的" デバイスの種類は、短時間だけ検出されたデバイスを示します。 これらのデバイスを慎重に調査して、ネットワークへの影響を理解することをお勧めします。
"未分類" のデバイスとは、それ以外ではすぐに使用できるカテゴリが定義されていないデバイスです。
認可されていないデバイス
Defender for IoT を初めて使用する場合、センサーをデプロイした直後の学習期間中に検出されたすべてのデバイスは "認可済み" のデバイスとして識別されます。
学習期間が終了すると、検出される新しいデバイスは "認可されていない" デバイスと "新規" デバイスと見なされます。 これらのデバイスでリスクと脆弱性を慎重に確認することをお勧めします。 たとえば、Azure portal で、Authorization == **Unauthorized** でデバイス インベントリをフィルター処理します。 デバイスの詳細ページで、関連する脆弱性、アラート、および推奨事項をドリルダウンし、確認します。
デバイスの詳細を編集するか、OT センサー デバイス マップ上でデバイスが移動されるとすぐに、"新規" 状態が削除されます。 一方、"未認可" のラベルは、デバイスの詳細を手動で編集して "認可済み" のマークを付けるまで残ります。
OT センサーでは、認可されていないデバイスは次のレポートにも含まれます。
攻撃ベクトル レポート: "未認可" としてマークされているデバイスは、ネットワークに対する脅威となる可能性がある非認可の疑いのあるデバイスとして、攻撃ベクトルのシミュレーションに含まれます。
リスク評価レポート: "未認可" としてマークされているデバイスは、ネットワークに対するリスクに調査が必要であるため、リスク評価レポートに表示されます。
重要な OT デバイス
追加の追跡用に強調表示するために、OT デバイスに "重要" のマークを付けます。 OT センサーでは、重要なデバイスは次のレポートに含まれます。
攻撃ベクトル レポート: "重要" とマークされているデバイスは、潜在的な攻撃対象として攻撃ベクトルのシミュレーションに含まれます。
リスク評価レポート: "重要" とマークされているデバイスは、セキュリティ スコアを計算するときにリスク評価レポートにカウントされます。
デバイス インベントリ列のデータ
次の表に、Azure portal の Defender for IoT デバイス インベントリで使用できる列を示します。 星付きの項目 (*) は OT センサーからも使用できます。
注意
次に記載されている機能はプレビューの中にあります。 Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される他の法律条項が含まれています。
| 名前 | 説明 |
|---|---|
| 認可 * | 編集可能。 デバイスに "認可済み" のマークが付いているかどうかを判別します。 デバイスのセキュリティが変更されると、この値の変更が必要となる場合があります。 |
| ビジネス機能 | 編集可能。 デバイスのビジネス機能を示します。 |
| クラス | 編集可能。 デバイスのクラス。 既定値: IoT |
| データ ソース | マイクロ エージェント、OT センサー、Microsoft Defender for Endpoint など、データのソース。 既定値: MicroAgent |
| 説明 * | 編集可能。 デバイスの説明。 |
| デバイス ID | Azure によって割り当てられたデバイスの ID 番号。 |
| ファームウェア モデル | デバイスのファームウェア モデル。 |
| ファームウェア ベンダー | 編集可能。 デバイスのファームウェアのベンダー。 |
| ファームウェア バージョン * | 編集可能。 デバイスのファームウェア バージョン。 |
| 最初の表示 * | デバイスが最初に表示された日付と時刻。 MM/DD/YYYY HH:MM:SS AM/PM 形式で表示されます。 OT センサーで、[検出済み] と表示されます。 |
| 重要度 | 編集可能。 デバイスの重要レベル: Low、Medium、または High。 |
| [IPv4 アドレス] | デバイスの IPv4 アドレス。 |
| [IPv6 アドレス] | デバイスの IPv6 アドレス。 |
| 最終アクティビティ * | デバイス インベントリを表示している場所に応じて、デバイスが最後にイベントを Azure または OT センサーに送信した日付と時刻。 MM/DD/YYYY HH:MM:SS AM/PM 形式で表示されます。 |
| 場所 | 編集可能。 デバイスの物理的な場所。 |
| MAC アドレス * | デバイスの MAC アドレス。 |
| モデル * | 編集可能。デバイスのハードウェア モデル。 |
| [名前] * | 必須で編集可能。 センサーによって検出された、またはユーザーが入力したデバイスの名前。 |
| ネットワークの場所 (パブリック プレビュー) | デバイスのネットワークの場所。 構成済みサブネットに従って、デバイスがローカルとして定義されているか、またはルーティングされているかが表示されます。 |
| OS アーキテクチャ | 編集可能。 デバイスのオペレーティング システムのアーキテクチャ。 |
| OS ディストリビューション | 編集可能。 デバイスのオペレーティング システムのディストリビューション (Android、Linux、Haiku など)。 |
| OS プラットフォーム * | 編集可能。 デバイスのオペレーティング システム (検出された場合)。 OT センサーで、オペレーティング システムとして表示されます。 |
| OS バージョン | 編集可能。 Windows 10 や Ubuntu 20.04.1 などのデバイスのオペレーティング システム バージョン。 |
| PLC モード * | "キー" 状態 (物理的または論理的) と "実行" 状態 (論理的) の両方を含む、デバイスの PLC 動作モード。 両方の状態が同じ場合は、1 つの状態のみが表示されます。 - 使用できる "キー" 状態には、 Run、Program、Remote、Stop、Invalid、Programming Disabled があります。 - 使用できる "実行" 状態は、 Run、Program、Stop、Paused、Exception、Halted、Trapped、Idle、Offline です。 |
| プログラミング デバイス * | 編集可能。 デバイスが "プログラミング デバイス" として定義されているかどうかを定義します。エンジニアリング ステーションに関連する PLC、RTU、およびコントローラーのプログラミング アクティビティを実行します。 |
| [プロトコル] * | デバイスで使用するプロトコル。 |
| Purdue レベル | 編集可能。 デバイスが属する Purdue レベル。 |
| スキャナー デバイス * | 編集可能。 デバイスがネットワーク内でスキャンのようなアクティビティを実行するかどうかを定義します。 |
| センサー | デバイスが接続されているセンサー。 |
| シリアル番号 * | デバイスのシリアル番号。 |
| サイト | デバイスのサイト。 すべての Enterprise IoT センサーはエンタープライズ ネットワーク サイトに自動的に追加されます。 |
| スロット | デバイスにあるスロットの数。 |
| サブタイプ | 編集可能。 "スピーカー" や "スマート TV" などのデバイスのサブタイプ。 規定: Managed Device |
| タグ | 編集可能。 デバイスのタグ。 |
| [種類] * | 編集可能。 デバイスの種類 ("通信"、"産業用" など)。 規定: Miscellaneous |
| 仕入先 * | MAC アドレスで定義されている、デバイスの製造元の名前。 |
| VLAN * | デバイスの VLAN。 |
| ゾーン | デバイスのゾーン。 |
OT センサーでのみ使用できる列は次のとおりです。
- デバイスの DHCP アドレス
- デバイスの FQDN アドレスと FQDN の最後の検索時刻
- OT センサーのデバイス マップで定義されているように、デバイスを含むデバイス グループ
- デバイスのモジュール アドレス
- デバイスのラックとスロット
- デバイスに関連する未確認アラートの数
注意
追加の [エージェントの種類] 列と [エージェント バージョン] 列は、デバイス ビルダーで使用されます。 詳細について、「デバイスビルダー向けMicrosoft Defender for IoTのドキュメント」を確認してください。
次のステップ
詳細については、次を参照してください。