OT エージェントレス監視ソフトウェアのインストール

この記事では、OT センサーとオンプレミス管理コンソール用のエージェントレス監視ソフトウェアをインストールする方法について説明します。 この記事の手順は、構成済みのアプライアンスにソフトウェアを再インストールする場合や、独自のアプライアンスにソフトウェアをインストールしようとしている場合に必要になることがあります。

Azure portal からソフトウェア ファイルをダウンロードする

OT センサーとオンプレミス管理コンソール ソフトウェアを Azure portal からダウンロードします。

[Defender for IoT] >[作業の開始] ページで、[センサー][オンプレミス管理コンソール]、または [更新] タブを選択して、必要なソフトウェアを見つけます。

以前のバージョンから更新する場合は、状況に適した更新パスがあることを確実にするために、オプションを慎重に確認してください。

次のいずれかのオプションを使用して、ハードウェア アプライアンスまたは VM に ISO ファイルをマウントします。

  • 物理メディア – ISO ファイルを外部ストレージに書き込んでから、メディアからブートします。

    • DVD: 最初にソフトウェアをイメージとして DVD に書き込みます
    • USB ドライブ: 最初に、Rufus などのソフトウェアで起動可能な USB ドライブを作成したことを確認してから、ソフトウェアを USB ドライブに保存します。 USB ドライブには、USB バージョン 3.0 以降が必要です。

    物理メディアには、4 GB 以上のストレージが必要です。

  • 仮想マウント - iLO (HPE アプライアンスの場合) または iDRAC (Dell アプライアンスの場合) を使用して ISO ファイルを起動します。

インストール前の構成

アプライアンスの種類ごとに固有の手順があり、Defender for IoT ソフトウェアをインストールする前に実行する必要があります。

Defender for IoT ソフトウェアをインストールする前に、アプライアンスに必要な特定の手順が完了していることを確認します。 詳細については、「OT 監視アプライアンス カタログ」を参照してください。

詳細については、次を参照してください。

監視ソフトウェアのインストール

このセクションでは、センサーまたはオンプレミス管理コンソールに OT 監視ソフトウェアをインストールするための一般的な手順について説明します。

インストールするソフトウェアの種類に応じて、次のいずれかのタブを選択します。

この手順では、アプライアンスで ISO ファイルを起動した後、物理または仮想アプライアンスに OT センサー ソフトウェアをインストールする方法について説明します。

注意

この手順の終盤で、デバイスのユーザー名とパスワードが表示されます。 これらは必ず書き留めておいてください。これらのパスワードは二度と表示されません。

センサーのソフトウェアをインストールするには:

  1. インストールが起動すると、最初にインストールするハードウェア プロファイルを選ぶよう求められます。

    センサーのハードウェア プロファイル オプションのスクリーンショット。

    詳細については、「必要なアプライアンス」を参照してください。

    システム ファイルがインストールされ、センサーが再起動し、センサー ファイルがインストールされます。 このプロセスには数分かかることがあります。

    インストール手順が完了すると、Ubuntu パッケージ構成画面が表示され、Configuring iot-sensor ウィザードで、監視インターフェイスを選ぶプロンプトが表示されます。

    このウィザードでは、上矢印または下矢印を使って移動し、スペース バーでオプションを選びます。 Enter キーを押して、次の画面に進んでください。

  2. Select monitor interfaces 画面で、監視するインターフェイスを選びます。

    重要

    接続されているインターフェイスのみを選択してください。 有効になっているが接続されていないインターフェイスを選択した場合、センサーは、Azure portal に [No traffic monitored] (トラフィック監視なし) 正常性通知を表示します。 インストール後にさらに多くのトラフィック ソースを接続し、Defender for IoT で監視する場合は、CLI を使用してそれらを追加できます。

    既定では、eno1 は管理インターフェイス用に予約されているため、このオプションはオフのままにすることをお勧めします。

    次に例を示します。

    監視インターフェイス選択画面のスクリーンショット。

  3. Select erspan monitor interfaces 画面で、使用できる ERSPAN 監視ポートを選びます。 ウィザードは、システムに ERSPAN 監視ポートがない場合でも、使用できるインターフェイスを一覧表示します。 ERSPAN 監視ポートがない場合、すべてのオプションをオフのままにします。

    次に例を示します。

    erspan 監視選択画面のスクリーンショット。

  4. Select management interface 画面では、管理インターフェイスとして既定の eno1 値を選択したままにしておくことをお勧めします。

    次に例を示します。

    管理インターフェイス選択画面のスクリーンショット。

  5. Enter sensor IP address 画面で、インストールするセンサー アプライアンスの IP アドレスを入力します。

    センサーの IP アドレス画面のスクリーンショット。

  6. Enter path to the mounted backups folder 画面で、センサーのマウントされたバックアップへのパスを入力します。 既定のパスの /opt/sensor/persist/backups を使うことをお勧めします。 次に例を示します。

    マウントされたバックアップ パスの画面のスクリーンショット。

  7. Enter Subnet Mask 画面で、センサーのサブネット マスクの IP アドレスを入力します。 次に例を示します。

    サブネット マスクの入力画面のスクリーンショット。

  8. Enter Gateway 画面で、センサーの既定のゲートウェイの IP アドレスを入力します。 次に例を示します。

    ゲートウェイの入力画面のスクリーンショット。

  9. Enter DNS server 画面で、センサーの DNS サーバーの IP アドレスを入力します。 次に例を示します。

    DNS サーバーの入力画面のスクリーンショット。

  10. Enter hostname 画面で、センサーのホスト名を入力します。 次に例を示します。

    ホスト名の入力画面のスクリーンショット。

  11. Run this sensor as a proxy server (Preview) 画面で、プロキシを構成する場合のみ <Yes> を選び、画面の指示に従いプロキシの資格情報を入力します。

    既定の構成は、プロキシなしです。

    詳細については、「インターネットへの直接アクセスがない Microsoft Defender for IoT センサーにプロキシ (レガシ) を使って接続する」を参照してください。

  12. インストール プロセスの実行が開始され、資格情報画面が表示されます。 次に例を示します。

    ユーザー名とパスワードが表示された、インストールの最後の画面のスクリーンショット。

    パスワードは一意であり、資格情報が表示されるのはこのときだけなので、一覧表示されたユーザー名とパスワードを保存します。 資格情報を安全な場所にコピーして、センサーに初めてサインインするときに使用できるようにします。

    続行する準備ができたら、 <Ok> を選択します。

    インストールは再び実行を継続し、インストールが完了すると再起動します。 再起動時に、サインインするための資格情報を入力するよう求められます。 次に例を示します。

    インストール後のセンサーのサインイン画面のスクリーンショット。

  13. 前の手順でコピーしたいずれかのユーザーの資格情報を入力します。

    • iot-sensor login: のプロンプトが消えたら Enter キーを押して再表示させます。
    • パスワードを入力するとき、パスワードの文字は画面に表示されません。 注意して入力してください。

    サインインに成功すると、次のような確認画面が表示されます。

    サインインの確認のスクリーンショット。

センサーがネットワークに接続されていることを確認し、ネットワークに接続されたブラウザーからセンサーにサインインすることができます。 詳細については、「センサーをアクティブ化してセットアップする」を参照してください。

インストール後の検証

アプライアンスへの OT 監視ソフトウェアのインストールが完了したら、システムをテストして、プロセスが正しく実行されているか確認します。 すべての種類のアプライアンスに同じ検証プロセスが適用されます。

システム正常性の検証は、センサーまたはオンプレミス管理コンソール UI または CLI を介してサポートされ、サポートCyberX の両方のユーザーが利用できます。

OT 監視ソフトウェアをインストールしたら、次のテストを実行してください:

  • サニティ テスト:システムが実行されていることを確認します。

  • バージョン:バージョンが正しいことを確認します。

  • ifconfig:インストール プロセス中に構成されたすべての入力インターフェイスが実行されていることを確認します。

詳細は、センサーとオンプレミス管理コンソールのトラブルシューティングに関する記事で 「システムの正常性を確認する」を参照してください。

オンプレミス管理コンソールを使用してセンサーのトンネリング アクセスを構成する

ユーザーがセンサーに直接アクセスするのを防止することで、システムのセキュリティを強化できます。

直接アクセスの代わりに、プロキシ トンネリングを使用して、ユーザーが 1 つのファイアウォール規則でオンプレミスの管理コンソールからセンサーにアクセスできるようにします。 この手法により、センサーを介してネットワーク環境に不正にアクセスされる可能性が減少します。 センサーへのサインイン時のユーザー エクスペリエンスは変わりません。

トンネリング アクセスが構成されている場合、ユーザーは URL 構文 https://<on-premises management console address>/<sensor address>/<page URL> を使用してセンサー コンソールにアクセスします。

たとえば、次の図は、ユーザーがオンプレミス管理コンソールを介してセンサー コンソールにアクセスするアーキテクチャの例を示しています。

センサーへのアクセスを示すスクリーンショット。

IT ファイアウォール、オンプレミス管理コンソール、OT ファイアウォールの間の接続は、URL 書き換えでリバース プロキシを使用して行われます。 OT ファイアウォールとセンサーの間の接続は、リバース SSH トンネルを使用して行われます。

センサーのトンネリング アクセスを有効にするには

  1. CyberX または Support ユーザーの資格情報を使用し、オンプレミス管理コンソールの CLI にサインインします。

  2. sudo cyberx-management-tunnel-enable」と入力します。

  3. [Enter] を選択します。

  4. --port 10000」と入力します。

次のステップ

詳細については、次を参照してください。