センサー コンソールから OT ネットワーク センサーのメンテナンスを行う
この記事では、大規模なデプロイ プロセス外で実行できる追加の OT センサーのメンテナンス作業について説明します。
OT センサーは、OT センサー CLI、Azure portal、オンプレミス管理コンソールからメンテナンスを行うこともできます。
注意事項
OT ネットワーク センサーとオンプレミス管理コンソールの文書化された構成パラメーターのみが、顧客の構成ではサポートされています。 文書化されていない構成パラメーターやシステム プロパティは、変更しないでください。変更すると予期しない動作やシステム障害が発生する可能性があります。
Microsoft の承認なしにセンサーからパッケージを削除すると、予期しない結果が生じる場合があります。 センサーにインストールされているすべてのパッケージは、センサーが正しく機能するために必要です。
前提条件
この記事の手順を実行する前に、次のものがあることを確認してください。
Azure portal で OT ネットワーク センサーが Defender for IoT にインストールされ、構成され、アクティブ化され、オンボードされていること。
管理者ユーザーとして OT センサーにアクセスできること。 選択したプロシージャと CLI アクセスには、特権ユーザーも必要です。 詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。
OT センサー用のソフトウェアをダウンロードするには、セキュリティ管理者、共同作成者、または所有者ユーザーとして Azure portal にアクセスする必要があります。
センサーの証明書を更新する必要がある場合に SSL/TLS 証明書が用意されていること。
全体的な OT センサーの正常性を確認する
OT センサーにサインインしたときに、最初に表示されるページは [概要] ページです。
次に例を示します。
[概要] ページには、次のウィジェットが表示されます。
名前 | 説明 |
---|---|
全般設定 | センサーの基本的な構成設定と接続の状態の一覧を表示します。 |
トラフィックの監視 | センサー内のトラフィックを詳細に示すグラフを表示します。 グラフには、表示日のトラフィックが 1 時間あたりの Mbps 単位で表示されます。 |
上位 5 つの OT プロトコル | 最もよく使用される OT プロトコルの上位 5 つを詳しく示す棒グラフが表示されます。 棒グラフには、これらの各プロトコルを使用しているデバイスの数も表示されます。 |
ポート別のトラフィック | ネットワーク内のポートの種類と、ポートの種類ごとに検出されたトラフィックの量を示す円グラフが表示されます。 |
上位のオープン アラート | 各アラートに関する重要な詳細などの、重大度レベルが高い現在開いているアラートを一覧表示する表が表示されます。 |
各ウィジェットのリンクを選択すると、センサーの詳細をドリルダウンできます。
接続の状態を検証する
OT センサーの [概要] ページから、OT センサーが直接 Azure portal に正常に接続されていることを確認します。
接続に問題がある場合は、[概要] ページの [一般設定] 領域に切断メッセージが表示され、ページ上部の [システム メッセージ] 領域にサービス接続エラーの警告が表示されます。 次に例を示します。
情報アイコンにカーソルを合わせると、問題に関する詳細情報が表示されます。 次に例を示します。
[システム メッセージ] の下の [Learn more](詳細情報) オプションを選択して、アクションを実行します。 次に例を示します。
OT センサー用ソフトウェアをダウンロードする
Defender for IoT ソフトウェアをお使いのアプライアンスにインストールする場合、またはソフトウェアのバージョンを更新する場合は、必要に応じて OT センサー用のソフトウェアをダウンロードします。
Azure portal の Defender for IoT で、次のいずれかのオプションを使用します。
新規インストールの場合は、[はじめに]>[センサー] の順に選択します。 [アプライアンスの購入とソフトウェアのインストール] 領域でバージョンを選択し、[ダウンロード] を選択します。
OT センサーを更新する場合は、[サイトとセンサー] ページ >[センサーの更新 (プレビュー)] メニューのオプションを使用します。
Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されているため、マシンは署名された資産のみを使用します。
詳細については、「Defender for IoT OT モニタリング ソフトウェアの更新」を参照してください。
新しいアクティブ化ファイルをアップロードする
各 OT センサーは、クラウド接続またはローカル管理の OT センサーとしてオンボードされ、一意のアクティブ化ファイルを使用してアクティブ化されます。 クラウド接続センサーの場合、アクティブ化ファイルはセンサーと Azure の間の接続を確保するために使用されます。
ローカル管理センサーからクラウド接続センサーに移行するなど、センサーの管理モードを切り替える場合や、最近のソフトウェア バージョンから更新する場合は、新しいアクティブ化ファイルをセンサーにアップロードする必要があります。 新しいアクティブ化ファイルをセンサーにアップロードするには、Azure portal からセンサーを削除し、再びオンボードする必要があります。
新しいアクティブ化ファイルを追加するには:
次のいずれかの操作を行います。
センサーを最初からオンボードする:
Azure portal の Defender for IoT > [サイトとセンサー] で、OT センサーを見つけて削除します。
[OT センサーのオンボード] > [OT] を選択して、センサーをもう一度最初からオンボードし、新しいアクティブ化ファイルをダウンロードします。 詳細については、OT センサーのオンボードに関する記事を参照してください。
現在のセンサーのアクティブ化ファイルをダウンロード する: [サイトとセンサー] ページで、追加したセンサーを見つけます。 センサーの行の 3 つのドット (...) を選択し、[アクティブ化ファイルのダウンロード] を選択します。 センサーからアクセスできる場所にファイルを保存します。
Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されているため、マシンは署名された資産のみを使用します。
Defender for IoT センサー コンソールにサインインし、[システム設定] > [センサー管理] > [サブスクリプションおよびアクティブ化モード] の順に選択します。
[アップロード] を選択し、Azure portal からダウンロードしたファイルを参照します。
[アクティブ化] を選択して、新しいアクティブ化ファイルをアップロードします。
アクティブ化ファイルのアップロードをトラブルシューティングする
アクティブ化ファイルをアップロードできなかった場合は、エラー メッセージが表示されます。 次のイベントが発生している可能性があります。
センサーがインターネットに接続できません。センサーのネットワーク構成を確認します。 センサーがインターネットにアクセスするために Web プロキシ経由で接続する必要がある場合は、 [センサーのネットワーク構成] 画面でプロキシ サーバーが正しく構成されていることを確認します。 ファイアウォールまたはプロキシで必要なエンドポイントが許可されていることを確認します。
OT センサー バージョン 22.x の場合は、Azure portal の [サイトとセンサー] ページから必要なエンドポイントの一覧をダウンロードします。 サポートされているソフトウェア バージョンの OT センサー、またはサポートされているセンサーが 1 つ以上あるサイトを選択します。 [その他のアクション]>[エンドポイント詳細のダウンロード] を選択します。 以前のバージョンのセンサーについては、「センサーから Azure portal へのアクセス」を参照してください。
アクティブ化ファイルは有効ですが、Defender for IoT で拒否されました。この問題を解決できない場合は、Azure portal の [サイトとセンサー] ページから別のアクティブ化をダウンロードできます。 それでもうまくいかない場合は、Microsoft サポートにお問い合わせください。
Note
アクティブ化ファイルの有効期限は、作成から 14 日後です。 センサーをオンボードしたが、有効期限が切れる前にアクティブ化ファイルをアップロードしなかった場合は、新しいアクティブ化ファイルをダウンロード します。
SSL/TLS 証明書の管理
運用環境で作業をしている場合は、OT センサーのデプロイの一環として、CA 署名 SSL/TLS 証明書をデプロイ済みです。 自己署名証明書は、テスト目的でのみ使用することをお勧めします。
次の手順では、証明書の有効期限が切れた場合など、更新された SSL/TLS 証明書をデプロイする方法について説明します。
ヒント
CA 署名 SSL/TLS 証明書を作成するには:
OT センサーにサインインし、[システム設定]>[基本]>[SSL/TLS 証明書] の順に選択します。
[SSL/TLS 証明書] ペインで、[信頼された CA 証明書をインポートする (推奨)] オプションを選択します。 次に例を示します。
次のパラメーターを入力します。
パラメーター 説明 証明書名 証明書名を入力します。 パスフレーズ - オプション パスフレーズを入力します。 秘密キー (KEY ファイル) 秘密キー (KEY ファイル) をアップロードします。 証明書 (CRT ファイル) 証明書 (CRT ファイル) をアップロードします。 証明書チェーン (PEM ファイル) - オプション 証明書チェーン (PEM ファイル) をアップロードします。 [CRL (証明書失効リスト) を使用して証明書の状態を確認する] を選択して、CRL サーバーに対して証明書を検証します。 証明書は、インポート プロセス中に 1 回確認されます。
アップロードが失敗した場合は、セキュリティ管理者または IT 管理者に連絡してください。 詳細については、「オンプレミス リソースの SSL/TLS 証明書の要件」および「OT アプライアンスの SSL/TLS 証明書を作成する」を参照してください。
[オンプレミスの管理コンソール証明書の検証] 領域で、SSL/TLS 証明書の検証が必要な場合は、[必須] を選択します。 そうでない場合は、[なし] を選択します。
[必須] を選択しており、検証に失敗した場合は、関連コンポーネント間の通信が停止し、検証エラーがセンサーに表示されます。 詳細については、「CRT ファイルの要件」を参照してください。
[保存] を選択して証明書の設定を保存します。
証明書のアップロード エラーのトラブルシューティング
証明書が正しく作成されていない場合、または無効な場合には、OT センサーまたはオンプレミス管理コンソールに証明書をアップロードすることはできません。 次の表を使用して、証明書のアップロードが失敗し、エラー メッセージが表示された場合にアクションを実行する方法を理解します:
証明書の検証エラー | 推奨 |
---|---|
パスフレーズがキーと一致しません | 正しいパスフレーズを指定していることを確認します。 問題が解決しない場合は、正しいパスフレーズを使用して証明書を再作成してみてください。 詳細については、「キーとパスフレーズでサポートされる文字」を参照してください。 |
信頼チェーンを検証できません。 指定された証明書とルート CA が一致しません。 | .pem ファイルが .crt ファイルに関連付けられていることを確認します。 問題が解決しない場合は、 .pem ファイルによって定義される正しい信頼チェーンを使用して、証明書を再作成してみてください。 |
この SSL 証明書は有効期限が切れているので、有効と見なされません。 | 有効な日付で新しい証明書を作成します。 |
この証明書は CRL によって失効されており、セキュリティで保護された接続には信頼できません | 新しい未失効証明書を作成します。 |
CRL (証明書失効リスト) の場所に到達できません。 このアプライアンスから URL にアクセスできることを確認してください | ネットワーク構成により、センサーまたはオンプレミスの管理コンソールが証明書で定義されている CRL サーバーに到達できることを確認します。 詳細については、「CRL サーバーへのアクセスを確認する」を参照してください。 |
証明書の検証に失敗しました | これは、アプライアンスの一般的なエラーを示します。 Microsoft サポートに問い合わせてください。 |
OT センサーのネットワーク構成を更新する
インストール時に OT センサー ネットワークを構成しました。 ネットワーク値の変更やプロキシ構成の設定など、OT センサーのメンテナンスの一環として変更が必要になる場合があります。
OT センサーの構成を更新するには:
OT センサーにサインインし、[システム設定]>[基本]>[センサー ネットワーク設定] の順に選択します。
[センサー ネットワーク設定] ペインで、必要に応じて OT センサーの次の詳細を更新します。
- IP アドレス。 IP アドレスを変更するには、ユーザーが OT センサーにもう一度サインインする必要がある場合があります。
- サブネット マスク
- 既定のゲートウェイ
- DNS。 組織の DNS サーバーで構成されているのと同じホスト名を使用してください。
- ホスト名 (省略可能)
必要に応じて [プロキシを有効にする] オプションをオンまたはオフに切り替えます。 プロキシを使用している場合は、次の値を入力します。
- プロキシ ホスト
- プロキシ ポート
- プロキシのユーザー名 (省略可能)
- プロキシのパスワード (省略可能)
[保存] を選択して変更を保存します。
学習モードを手動でオフにする
Microsoft Defender for IoT の OT ネットワーク センサーは、ネットワークに接続され、ユーザーがサインインするとすぐに自動的にネットワークの監視を開始します。 ネットワーク デバイスがデバイス インベントリに表示されるようになり、ネットワークで発生したセキュリティまたは運用上のインシデントに対してアラートがトリガーされます。
最初に、このアクティビティは "学習" モードで行われます。このモードでは、ネットワーク内のデバイスとプロトコルを含むネットワークの通常のアクティビティと、特定のデバイス間で発生する通常のファイル転送を学習するように OT センサーが指示されます。 定期的に検出されたアクティビティは、ネットワークのベースライン トラフィックになります。
この手順では、現在のアラートにネットワーク アクティビティが正確に反映されていると思われる場合に、学習モードを手動でオフにする方法について説明します。
学習モードをオフにする:
OT ネットワーク センサーにサインインし、[システム設定] > [ネットワーク監視] > [検出エンジンとネットワーク モデリング] の順に選択します。
次のいずれかまたは両方のオプションをオフに切り替えます。
学習。 OT センサーの検出にネットワーク アクティビティが正確に反映されていると思われる場合は、センサーをデプロイしてから約 2 から 6 週間後に、このオプションをオフに切り替えます。
スマート IT 学習。 "非決定的な" アラートおよび通知の数を低く抑えるには、このオプションをオンのままにします。
非決定的な動作には、DNS 要求や HTTP 要求などの通常の IT アクティビティの結果である変更が含まれます。 スマート IT 学習オプションをオフに切り替えると、多くの擬陽性ポリシー違反アラートがトリガーされる可能性があります。
確認メッセージで [OK] を選択し、[閉じる] を選択して変更を保存します。
センサーの監視インターフェイスを更新する (ERSPAN を構成する)
トラフィックを監視するためにセンサーで使用されるインターフェイスを変更したい場合があります。 これらの詳細はもともと、センサーの初期セットアップの一部として構成しましたが、ERSPAN 監視の構成など、システム メンテナンスの一部として設定の変更が必要になる場合があります。
詳細については、「ERSPAN ポート」を参照してください。
注意
この手順では、センサー ソフトウェアを再起動して、加えられた変更を実装します。
センサーの監視インターフェイスを更新するには:
OT センサーにサインインし、[システム設定]>[基本]>[インターフェイス接続] の順に選択します。
グリッドで、構成するインターフェイスを見つけます。 次のいずれかを実行します。
センサーで監視するインターフェイスの [有効/無効] トグルを選択します。 センサーごとに少なくとも 1 つのインターフェイスが有効になっている必要があります。
使用するインターフェイスがわからない場合は、[物理インターフェイス LED を点滅させる] ボタンを選択して、選択したポートをマシンで点滅させます。
ヒント
アクティブに使用されているインターフェイスのみを監視するように設定を構成して、センサーのパフォーマンスを最適化することをお勧めします。
監視することを選択したインターフェイスごとに、[詳細設定] ボタンを選択して、以下のいずれかの設定を変更します。
名前 説明 Mode 次のいずれかを選択してください。
- SPAN トラフィック (カプセル化なし): 既定の SPAN ポート ミラーリングを使用する場合。
- ERSPAN: ERSPAN ミラーリングを使おうとしている場合。
詳細については、「OT センサーのトラフィック ミラーリング方法を選択する」を参照してください。説明 必要に応じてインターフェイスの説明を入力します。 これは後で、センサーの [システム設定] > [インターフェイスの構成] ページに表示されます。これらの説明は、各インターフェイスの目的を理解するのに役立つ場合があります。 自動ネゴシエーション 関連するのは物理マシンのみです。 このオプションは、使用されている通信方法の種類や、コンポーネント間で通信方法が自動的に定義されているかどうかを特定するために使用します。
重要: この設定を変更するのは、ネットワーク チームに助言された場合のみにすることをお勧めします。
次に例を示します。
[保存] を選択して変更を保存します。 センサー ソフトウェアが再起動して変更が実装されます。
OT センサーのタイム ゾーンを同期する
ユーザーの所在地に関係なく、すべてのユーザーに同じ時間が表示されるように特定のタイム ゾーンで OT センサーを構成できます。
タイム ゾーンは、アラート、傾向と統計ウィジェット、データ マイニング レポート、リスク評価レポート、攻撃ベクトル レポートで使用されます。
OT センサーのタイム ゾーンを構成するには:
OT センサーにサインインし、[システム設定] > [基本] > [時間とリージョン] の順に選択します。
[時間とリージョン] ペインに次の詳細を入力します:
タイム ゾーン: 使用するタイム ゾーンを選択します
日付の形式: 使用する時刻と日付の形式を選択します。 サポートされている形式は以下のとおりです。
dd/MM/yyyy HH:mm:ss
MM/dd/yyyy HH:mm:ss
yyyy/MM/dd HH:mm:ss
[日付と時刻] フィールドは、選択した形式で現在の時刻に自動的に更新されます。
[保存] を選択して変更を保存します。
SMTP メール サーバーの設定を構成する
OT センサーで SMTP メール サーバー設定を定義して、他のサーバーとパートナー サービスにデータを送信するように OT センサーを構成します。
オンプレミスの管理コンソールから、切断されたセンサー、失敗したセンサー バックアップの取得、SPAN 監視ポートの障害に関するメール アラートが有効になるように SMTP メール サーバーを構成し、メール転送を設定し、転送アラート ルールを構成する必要があります。
前提条件:
センサーの管理ポートから SMTP サーバーに到達できることを確認します。
OT センサーで SMTP サーバーを構成するには:
OT センサーにサインインし、[システム設定]>[統合]>[メール サーバー] の順に選択します。
表示される [メール サーバー構成の編集] ウィンドウで、SMTP サーバーの値を次のように定義します。
パラメーター 説明 SMTP サーバー アドレス SMTP サーバーの IP アドレスまたはドメイン アドレスを入力します。 SMTP サーバー ポート 既定値 は 25 です。 必要に応じて値を調整します。 発信メール アカウント センサーからの送信メール アカウントとして使用するメール アドレスを入力します。 SSL センサーからの安全な接続のために有効にします。 認証 有効にしてから、メール アカウントのユーザー名とパスワードを入力します。 NTLM を使用する オンにして NTLM を有効にします。 このオプションは、[認証] オプションが有効になっている場合にのみ表示されます。 完了したら、 [保存] を選択します。
PCAP ファイルをアップロードして再生する
OT センサーのトラブルシューティングの際には、特定の PCAP ファイルによって記録されたデータを調べることができます。 これを行うには、PCAP ファイルを OT センサーにアップロードし、記録されたデータを再生します。
[PCAP の再生] オプションは、センサー コンソールの設定で既定で有効になっています。
アップロード ファイルの最大サイズは 2 GB です。
センサー コンソールに PCAP プレーヤーを表示するには:
センサー コンソールで、[システム設定] > [センサーの管理] > [詳細な構成] に移動します。
[詳細な構成] ペインで、[Pcaps](PCAP) カテゴリを選択します。
表示された構成で
enabled=0
をenabled=1
に変更し、[保存] を選択します。
[PCAP の再生] オプションが、センサー コンソールの設定において、[システム設定] > [基本] > [PCAP の再生] の下で使用できるようになりました。
PCAP ファイルをアップロードして再生するには:
センサー コンソールで、[システム設定] > [基本] > [PCAP の再生] を選択します。
[PCAP プレーヤー] ペインで [アップロード] を選んでから、アップロードするファイルに移動して選びます (複数可)。
[再生] を選択して PCAP ファイルを再生するか、[すべて再生] を選択して現在読み込まれているすべての PCAP ファイルを再生します。
ヒント
[すべてクリア] を選択すると、読み込まれているすべての PCAP ファイルのセンサーがクリアされます。
特定の分析エンジンをオフにする
既定では、OT ネットワーク センサーは組み込みの分析エンジンを使用して、取り込まれたデータを分析し、リアルタイムおよび事前に記録されたトラフィックの両方に基づいてアラートをトリガーします。
すべての分析エンジンをオンのままにしておくことをお勧めしますが、OT センサーで特定の分析エンジンをオフにして、その OT センサーによって監視される異常とリスクの種類を制限できます。
重要
ポリシー エンジンを無効にすると、エンジンによって生成される情報がセンサーで使用できなくなります。 たとえば、異常エンジンを無効にした場合、ネットワークの異常に関するアラートを受け取りません。 転送アラート ルールを作成していても、エンジンが学習する異常は送信されません。
OT センサーの分析エンジンを管理するには:
OT センサーにサインインし、[システム設定] > [ネットワーク監視] > [カスタマイズ] > [検出エンジンとネットワーク モデリング] の順に選択します。
[検出エンジンとネットワークモデリング] ペインの [エンジン] 領域で、次のエンジンの 1 つ以上をオフにします。
- プロトコル違反
- ポリシー違反
- マルウェア
- 異常
- 運用時
エンジンをオンに戻して、関連する異常とアクティビティを再度追跡し始めます。
詳細については、「Defender for IoT 分析エンジン」を参照してください。
[閉じる] を選択して変更を保存します。
オンプレミス管理コンソールから分析エンジンを管理するには:
オンプレミス管理コンソールにサインインし、[システム設定] を選択します。
[センサー エンジンの構成] セクションで、設定を適用する OT センサーを 1 つ以上選択し、以下のいずれかのオプションをオフにします。
- プロトコル違反
- ポリシー違反
- マルウェア
- 異常
- 運用時
[変更の保存] を選択して変更を保存します。
OT センサー データをクリアする
OT センサーを再配置または消去する必要がある場合は、OT センサーをリセットして、OT センサーで検出または学習されたすべてのデータをクリアします。
クラウドに接続されたセンサーでデータをクリアした後:
- Azure portal のデバイス インベントリが並列で更新されます。
- PCAP ファイルのダウンロードやアラートの学習など、Azure portal 内の対応するアラートに対する一部のアクションがサポートされなくなります。
注意
IP/DNS/GATEWAY などのネットワーク設定は、システム データをクリアしても変更されません。
システム データをクリアするには:
admin ユーザーとして OT センサーにサインインします。 詳細については、「既定の特権オンプレミス ユーザー」を参照してください。
[サポート]>[データのクリア] を選択します。
確認ダイアログ ボックスで [はい] を選択して、センサーからすべてのデータをクリアしてリセットすることを確定します。 次に例を示します。
アクションが成功したことを示す確認メッセージが表示されます。 すべての学習データ、許可リスト、ポリシー、構成設定がセンサーからクリアされます。
センサー プラグインを管理し、プラグインのパフォーマンスを監視する
センサー コンソールの [プロトコル DPI (Horizon プラグイン)] ページを使用して、センサーによって監視されている各プロトコルのデータを表示します。
OT センサー コンソールにサインインし、[システム設定] > [ネットワーク監視] > [プロトコル DPI (Horizon プラグイン)] を選択します。
次のいずれかの操作を行います。
センサーによって監視されるプロトコルを制限するには、必要に応じてプラグインごとに [有効]/[無効] トグルを選択します。
プラグインのパフォーマンスを監視するには、各プラグインの [プロトコル DPI (Horizon プラグイン)] ページに表示されるデータを確認します。 特定のプラグインを見つけるために、[検索] ボックスを使って完全または部分的なプラグイン名を入力できます。
[Protocols DPI (Horizon Plugins)] (プロトコル DPI (Horizon プラグイン)) には、プラグインごとに次のデータが一覧表示されます。
列名 | 説明 |
---|---|
プラグイン | プラグイン名を定義します。 |
Type | アプリケーションまたはインフラストラクチャを含む、プラグインの種類。 |
Time | プラグインを使って最後にデータが分析された時刻。 タイム スタンプは 5 秒ごとに更新されます。 |
PPS | プラグインによって 1 秒あたりに分析されるパケットの数。 |
帯域幅 | 過去 5 秒以内にプラグインによって検出された平均帯域幅。 |
不正形式 | 過去 5 秒間に検出された不正形式エラーの数。 不正形式の検証は、プロトコルが肯定的に検証された後に使用されます。 プロトコルに基づいてパケットを処理できなかった場合は、エラー応答が返されます。 |
警告 | プラグインの警告構成に基づいて検出された警告の数。パケットが構造と仕様に一致するが、予期しない動作が検出された場合など。 |
エラー | プロトコル定義に一致するパケットの基本的なプロトコル検証に失敗したパケットについて、過去 5 秒間に検出されたエラーの数。 |
ログ データは、解析の統計情報と解析ログのログ ファイルでエクスポートできます。 詳細については、トラブルシューティング ログのエクスポートに関する記事を参照してください。
次のステップ
詳細については、次を参照してください。