OT センサーを構成してアクティブ化する

  • [アーティクル]

この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明するシリーズ記事の 1 つであり、初期セットアップの設定を構成し、OT センサーをアクティブ化する方法について説明します。

センサーのデプロイが強調表示されている進行状況バーの図。

いくつかの初期セットアップ手順は、ブラウザーで、または CLI を介して実行できます。

  • スイッチからセンサーに物理ケーブルを接続してインターフェイスを正しく識別できる場合は、ブラウザーを使用します。 センサーの既定の設定と一致するように、ネットワーク アダプターを再構成してください。
  • 物理ケーブルを接続しなくてもネットワークの詳細がわかっている場合は、CLI を使用します。 センサーに接続できるのが iLo/iDrac からのみの場合は、CLI を使用します

CLI を介してセットアップを構成する場合でも、最後のいくつかの手順はブラウザーで完了する必要があります。

前提条件

この記事の手順を行うには、以下が必要です。

  • Azure portal で Defender for IoT にオンボードされた OT センサー。

  • アプライアンスにインストールされている OT センサー ソフトウェア。 ご自身でソフトウェアをインストールしたか、事前構成済みのアプライアンスを購入したことを確認します。

  • センサーのオンボード後にダウンロードしたセンサーのアクティブ化ファイル。 デプロイする OT センサーごとに、一意のアクティブ化ファイルが必要です。

    Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されているため、マシンは署名された資産のみを使用します。

    Note

    アクティブ化ファイルの有効期限は、作成から 14 日後です。 センサーをオンボードしたが、有効期限が切れる前にアクティブ化ファイルをアップロードしなかった場合は、新しいアクティブ化ファイルをダウンロード します。

  • SSL/TLS 証明書。 自己署名証明書ではなく、CA 署名証明書を使用することをお勧めします。 詳細については、OT アプライアンス用の SSL/TLS 証明書を作成するに関する記事を参照してください。

  • センサーをインストールしようとしている物理アプライアンスまたは仮想アプライアンスへのアクセス。 詳細については、「必要なアプライアンス」を参照してください。

この手順は、デプロイ チームによって実行されます。

ブラウザーからセットアップを構成する

ブラウザーからのセンサー セットアップの構成には、以下の手順が含まれます。

  • センサー コンソールへのサインインと 管理者ユーザーのパスワードの変更
  • センサーのネットワーク詳細の定義
  • 監視するインターフェイスの定義
  • センサーのアクティブ化
  • SSL/TLS 証明書の設定の構成

センサー コンソールにサインインし、既定のパスワードを変更する

この手順では、OT センサー コンソールに初めてサインインする方法について説明します。 管理者ユーザーの既定のパスワードを変更するように求められます。

センサーにサインインするには:

  1. ブラウザーで、192.168.0.101 IP アドレスに移動します。これは、インストールの最後にセンサーに提供される既定の IP アドレスです。

    初回サインイン ページが表示されます。 次に例を示します。

    センサーへの初回サインイン ページのスクリーンショット。

  2. 次の資格情報を入力し、[ログイン] を選択します。

    • ユーザー名: admin
    • パスワード: admin

    管理者ユーザーの新しいパスワードを定義するように求められます。

  3. [新しいパスワード] フィールドに、新しいパスワードを入力します。 パスワードには、小文字と大文字のアルファベット、数字、記号を含める必要があります。

    [新しいパスワードの確認] フィールドに新しいパスワードをもう一度入力し、[開始する] を選択します。

    詳細については、「既定の特権ユーザー」を参照してください。

[Defender for IoT | 概要] ページで、[管理インターフェイス] タブが開きます。

センサー ネットワークの詳細を定義する

[管理インターフェイス] タブで、以下のフィールドを使用して、新しいセンサーのネットワークの詳細を定義します。

名前 説明
管理インターフェイス 管理インターフェイスとして使用するインターフェイスを選択し、Azure portal またはオンプレミスの管理コンソールのいずれかに接続します。

マシン上の物理インターフェイスを識別するには、インターフェイスを選択し、[物理インターフェイス LED を点滅させる] を選択します。 選択したインターフェイスに一致するポートが点灯するので、ケーブルを正しく接続できます。
IP アドレス センサーに使用する IP アドレスを入力します。 これは、ブラウザーまたは CLI を介してセンサーに接続するためにチームで使用する IP アドレスです。
[サブネット マスク] センサーのサブネット マスクとして使用するアドレスを入力します。
既定のゲートウェイ センサーの既定のゲートウェイとして使用するアドレスを入力します。
DNS センサーの DNS サーバーの IP アドレスを入力します。
hostname センサーに割り当てるホスト名を入力します。 DNS サーバーで定義されているのと同じホスト名を使用していることを確認します。
クラウド接続のプロキシを有効にする (省略可能) センサーのプロキシ サーバーを定義する場合に選択します。

SSL/TSL 証明書を使用してプロキシ サーバーにアクセスする場合は、[クライアント証明書] を選択し、証明書をアップロードします。

完了したら、[次へ: インターフェイスの構成] を選択して続行します。

監視するインターフェイスを定義する

[インターフェイス構成] タブには、既定で、センサーによって検出されたすべてのインターフェイスが表示されます。 このタブを使用して、インターフェイスごとに監視をオンまたはオフにしたり、各インターフェイスの特定の設定を定義したりできます。

ヒント

アクティブに使用されているインターフェイスのみを監視するように設定を構成して、センサーのパフォーマンスを最適化することをお勧めします。

[インターフェイス構成] タブで以下を実行し、監視対象のインターフェイスの設定を構成します。

  1. センサーで監視するインターフェイスの [有効/無効] トグルを選択します。 続行するには、少なくとも 1 つのインターフェイスを選択する必要があります。

    使用するインターフェイスがわからない場合は、[物理インターフェイス LED を点滅させる] ボタンを選択して、選択したポートをマシンで点滅させます。 スイッチに接続したインターフェイスのいずれかを選択します。

  2. (省略可能) 監視することを選択したインターフェイスごとに、[詳細設定] ボタンを選択して、以下のいずれかの設定を変更します。

    名前 説明
    Mode 次のいずれかを選択してください。
    - SPAN トラフィック (カプセル化なし): 既定の SPAN ポート ミラーリングを使用する場合。
    - ERSPAN: ERSPAN ミラーリングを使おうとしている場合。

    詳細については、「OT センサーのトラフィック ミラーリング方法を選択する」を参照してください。
    説明 必要に応じてインターフェイスの説明を入力します。 これは後で、センサーの [システム設定] > [インターフェイスの構成] ページに表示されます。これらの説明は、各インターフェイスの目的を理解するのに役立つ場合があります。
    自動ネゴシエーション 関連するのは物理マシンのみです。 このオプションは、使用されている通信方法の種類や、コンポーネント間で通信方法が自動的に定義されているかどうかを特定するために使用します。

    重要: この設定を変更するのは、ネットワーク チームに助言された場合のみにすることをお勧めします。

    [保存] を選択して変更を保存します。

  3. [次へ: 再起動 >] を選んで続行してから、[再起動を開始] を選んでセンサー マシンを再起動します。 センサーが再び起動すると、センサー IP アドレス として前に定義した IP アドレスに自動的にリダイレクトされます。

    [キャンセル] を選択して再起動されるのを待ちます。

OT センサーをアクティブにする

この手順では、新しい OT センサーをアクティブ化する方法について説明します。

これまで CLI を介して初期設定を構成してきた場合は、この手順でブラウザー ベースの構成を開始します。 センサーが再起動すると、同じ [Defender for IoT | 概要] ページの [アクティブ化] タブににリダイレクトされます。

センサーをアクティブにするには:

  1. [アクティブ化] タブで、[アップロード] を選択して、Azure portal からダウンロードしたセンサーのアクティブ化ファイルをアップロードします。
  2. [ご契約条件] オプションを選択してから、[アクティブにする] を選択します。
  3. [次へ: 証明書] を選択します。

SSL/TLS 証明書の設定を構成する

[証明書] タブを使用して、OT センサーに SSL/TLS 証明書をデプロイします。 すべての運用環境で CA 署名証明書を使用することをお勧めします。

SSL/TLS 証明書の設定を構成するには:

  1. [証明書] タブで [信頼された CA 証明書をインポートする (推奨)] を選択して、CA 署名証明書をデプロイします。

    証明書の名前とパスフレーズを入力し、[アップロード] を選択して秘密キー ファイル、証明書ファイル、オプションの証明書チェーン ファイルをアップロードします。

    ファイルをアップロードした後、ページの更新が必要になる場合があります。 詳細については、証明書のアップロード エラーのトラブルシューティングに関する記事を参照してください。

    ヒント

    テスト環境で作業している場合は、インストール時にローカルに生成される自己署名証明書を使用することもできます。 自己署名証明書の使用を選択する場合は、推奨事項に関する [確認] オプションを選択してください。

    詳細については、SSL/TLS 証明書の管理に関するページを参照してください。

  2. [オンプレミス管理コンソール証明書の検証] 領域で、[必須] を選択し、オンプレミスの管理コンソールの証明書を、証明書で構成されている証明書失効リスト (CRL) に対して検証します。

    詳細については、「オンプレミス リソースの SSL/TLS 証明書の要件」および「OT アプライアンスの SSL/TLS 証明書を作成する」を参照してください。

  3. [完了] を選択して初期セットアップを完了し、センサー コンソールを開きます。

CLI を介してセットアップを構成する

CLI を介して以下の初期セットアップ設定を構成する場合は、この手順を使用します。

  • センサー コンソールへのサインインと、管理者ユーザーの新しいパスワードの設定
  • センサーのネットワーク詳細の定義
  • 監視するインターフェイスの定義

ブラウザーでの SSL/TLS 証明書設定のアクティブ化構成に進みます。

CLI を介して初期セットアップの設定を構成するには:

  1. インストール画面で、既定のネットワークの詳細が表示されたら、Enter キーを押して続行します。

  2. D4Iot login プロンプトで、次の既定の資格情報を使用してサインインします。

    • ユーザー名: admin
    • パスワード: admin

    パスワードを入力するとき、パスワードの文字は画面に表示されません。 注意して入力してください。

  3. プロンプトで、管理者ユーザーの新しいパスワードを入力します。 パスワードには、小文字と大文字のアルファベット、数字、記号を含める必要があります。

    パスワードの確認を求められたら、新しいパスワードをもう一度入力します。 詳細については、「既定の特権ユーザー」を参照してください。

    <これはすぐに起こりますか?不明確-->Linux の構成ウィザード Package configuration が開きます。 このウィザードでは、上矢印または下矢印を使って移動し、SPACE バーでオプションを選びます。 Enter キーを押して、次の画面に進みます。

  4. ウィザードの Select monitor interfaces 画面で、このセンサーで監視するいずれかのインターフェイスを選択します。

    最初に見つかったインターフェイスがシステムによって管理インターフェイスとして選択されます。既定の選択のままにすることをお勧めします。 管理インターフェイスとして異なるポートを使用する場合、変更はセンサーの再起動後にのみ実装されます。 この場合は、必要に応じてセンサーが接続されていることを確認します。

    次に例を示します。

    [Select monitor interfaces] 画面のスクリーンショット。

    重要

    接続されているインターフェイスのみを選択してください。

    有効になっているが接続されていないインターフェイスを選択した場合、センサーは、Azure portal に [No traffic monitored] (トラフィック監視なし) 正常性通知を表示します。 インストール後、さらに多くのトラフィック ソースを接続し、Defender for IoT で監視する場合は、CLI を使用してそれらを後から追加できます。

  5. Select management interface 画面で、Azure portal またはオンプレミス管理コンソールに接続するために使用するインターフェイスを選択します。

    次に例を示します。

    [Select management interface] 画面のスクリーンショット。

  6. Enter sensor IP address 画面で、このセンサー用に使う IP アドレスを入力します。 この IP アドレスを使用して、CLI またはブラウザーからセンサーに接続します。 次に例を示します。

    [Enter sensor IP address] 画面のスクリーンショット。

  7. Enter path to the mounted backups folder 画面で、センサーのマウントされたバックアップへのパスを入力します。 既定のパスの /opt/sensor/persist/backups を使うことをお勧めします。 次に例を示します。

    マウントされたバックアップ フォルダーの構成のスクリーンショット。

  8. Enter Subnet Mask 画面で、センサーのサブネット マスクの IP アドレスを入力します。 次に例を示します。

    サブネット マスクの入力画面のスクリーンショット。

  9. Enter Gateway 画面で、センサーの既定のゲートウェイの IP アドレスを入力します。 次に例を示します。

    ゲートウェイの入力画面のスクリーンショット。

  10. Enter DNS server 画面で、センサーの DNS サーバーの IP アドレスを入力します。 次に例を示します。

    DNS サーバーの入力画面のスクリーンショット。

  11. Enter hostname 画面で、センサー ホスト名として使用する名前を入力します。 DNS サーバーで定義されているのと同じホスト名を使用していることを確認します。 次に例を示します。

    ホスト名の入力画面のスクリーンショット。

  12. Run this sensor as a proxy server (Preview) 画面で、プロキシを構成する場合のみ <Yes> を選び、画面の指示に従いプロキシの資格情報を入力します。 詳細については、OT センサーでプロキシ設定を構成するに関する記事を参照してください。

    既定の構成は、プロキシなしです。

  13. 構成プロセスの実行が始まり、再起動してから、もう一度サインインするように求められます。 次に例を示します。

    初期 CLI 構成の最後のサインイン プロンプトのスクリーンショット。

この時点で、センサー用に定義した IP アドレスを指してブラウザーを開き、ブラウザーでセットアップを続けます。 詳細については、「OT センサーをアクティブ化する」を参照してください。

注意

初期セットアップ中、ERSPAN 監視ポートのオプションを使用できるのは、ブラウザー ベースの手順のみです。

CLI を使用してネットワークの詳細を定義し、ERSPAN 監視ポートを設定する場合は、後でセンサーの [設定] > [インターフェイス接続] ページから実行します。 詳細については、「センサーの監視インターフェイスを更新する (ERSPAN を構成する)」を参照してください。

次のステップ

« OT センサー ソフトウェアのインストールを検証する

OT センサーでプロキシ設定を構成する »