Azure portal で Defender for IoT を使用してセンサーを管理する
この記事では、Azure portal ポータルで Microsoft Defender for IoT を利用し、センサーを表示および管理する方法について説明します。
前提条件
この記事の手順を使用する前に、ネットワーク センサーを Defender for IoT にオンボードする必要があります。 詳細については、次を参照してください。
センサーを表示する
OT センサーと Enterprise IoT センサーの両方を含め、現在クラウドに接続されているセンサーはすべて、[サイトとセンサー] ページに一覧表示されます。 次に例を示します。
![[サイトとセンサー] ページを示すスクリーンショット。](media/how-to-manage-sensors-on-the-cloud/sites-and-sensors-page.png#lightbox)
各センサーの詳細は、次の列に一覧表示されています。
| 列名 | 説明 |
|---|---|
| センサー名 | 登録時にセンサーに割り当てられた名前を表示します。 |
| センサーの種類 | センサーが、OT ローカル接続か、OT クラウド接続か、または Enterprise IoT センサーかを表示します。 |
| ゾーン | このセンサーを含むゾーンを表示します。 |
| サブスクリプション名 | このセンサーが属している Microsoft Azure アカウント サブスクリプションの名前を表示します。 |
| <センサーのバージョン> | センサーにインストールされている OT 監視ソフトウェアのバージョンを表示します。 |
| センサーの正常性 | センサーの正常性メッセージを表示します。 詳細については、「センサーの正常性について」を参照してください。 |
| 最終接続日時 (UTC) | センサーが最後に接続されてからの時間を表示します。 |
| 脅威インテリジェンスのバージョン | OT センサーにインストールされている脅威インテリジェンスのバージョンを表示します。 バージョンの名前は、パッケージが Defender for IoT によって作成された日付に基づいています。 |
| 脅威インテリジェンス モード | 脅威インテリジェンスのモードが "手動" か "自動" かを表示します。 "手動" とは、新しくリリースされたパッケージをセンサーに直接プッシュできることを意味します。 それ以外の場合、新しいパッケージは、すべての OT のクラウド接続センサーに自動的にインストールされます。 |
| 脅威インテリジェンスの更新状態 | OT センサーの脅威インテリジェンス パッケージの更新状態を表示します。 状態は、[失敗]、[進行中]、[利用可能な更新]、または [OK] のいずれかになります。 |
Azure portal のサイト管理オプション
Defender for IoT に新しい OT センサーをオンボードする場合、新しいサイトまたは既存のサイトに追加できます。 OT ネットワークを使用する場合は、センサーをサイトにまとめることにより、センサーをより効率的に管理し、ネットワーク全体でゼロ トラスト戦略に沿って調整できます。
Enterprise IoT センサーはすべて、"エンタープライズ ネットワーク" という名前の同じサイトに自動的に追加されます。
Azure portal からサイトを編集するには、次のようにします。
[Sites and sensors] (サイト とセンサー) ページでサイトの名前を選択します。 右側に表示される [サイトの編集] ウィンドウで、次のいずれかの値を変更します。
オプション 説明 [表示名] サイトのわかりやすい名前を入力します。 所有者 OT サイトの場合のみ。 このサイトでデバイスの所有者として指定するユーザーのメール アドレスを 1 つ以上入力します。 サイト所有者は、サイトですべてのデバイスによって継承され、IoT デバイス エンティティ ページと Microsoft Sentinel のインシデントの詳細に表示されます。
Microsoft Sentinel では、 AD4IoT-SendEmailtoIoTOwner プレイブックおよび AD4IoT-CVEAutoWorkflow プレイブックを使用して、重要なアラートやインシデントについてデバイス所有者に自動的に通知します。 詳細については、「IoT デバイスの脅威の調査と検出」を参照してください。タグ (省略可能) サイトに追加する新しいタグごとに、[キー] と [値] フィールドの値を入力します。 [追加] を選択して、新しいタグを追加します。 OT サイトの場合のみ: サイトごとに指定されるアクセス許可を定義するには、[サイト アクセス制御の管理 (プレビュー)] を選択します。
たとえば、Azure アクセス ポリシーに細分性のレベルを追加するためのゼロ トラストセキュリティ戦略の一環として、これを行うことが考えられます。 Defender for IoT サイトには、一般に、特定の地理的な場所にグループ化された多くのデバイス (特定の住所にあるオフィス ビル内のデバイスなど) が反映されます。
詳しくは、「サイトベースのアクセス制御を管理する」をご覧ください。
完了したら、 [保存] を選択して変更を保存します。
Azure portal のセンサー管理オプション
Defender for IoT にオンボードしたセンサーは、Defender for IoT の [サイトとセンサー] ページに一覧表示されます。 特定のセンサー名を選ぶと、そのセンサーの詳細が表示されます。
[サイトとセンサー] ページとセンサー詳細ページのオプションを使って、次のいずれかのタスクを実行します。 [サイトとセンサー] ページの場合は、ツール バー オプションを使って複数のセンサーを選び、一括してアクションを適用します。 個々のセンサーについては、[サイトとセンサー] ツール バー オプション、センサー行の右側にある [...] オプション メニュー、またはセンサー詳細ページのオプションを使います。
OT センサーの更新
| タスク | 説明 |
|---|---|
 センサーの更新 (プレビュー) |
OT センサーのみ。 OT センサーでリモート更新を Azure portal から直接実行するか、更新プログラム パッケージをダウンロードして手動で更新します。 詳細については、「Defender for IoT OT モニタリング ソフトウェアの更新」を参照してください。 |
 脅威インテリジェンスの更新 (プレビュー) |
OT センサーのみ。 一括アクションの場合は [サイトとセンサー] ツール バーから、個々のセンサーの場合は [...] オプション メニューから、またはセンサーの詳細ページから使用できます。 詳細については、「脅威インテリジェンスの調査とパッケージ」を参照してください。 |
 脅威インテリジェンスの自動更新を編集する |
個々の OT センサーのみ。 [...] オプション メニューまたはセンサーの詳細ページから使用できます。 [編集] を選び、必要に応じて、[自動脅威インテリジェンスの自動更新 (プレビュー)] オプションをオンまたはオフに切り替えます。 [送信] を選択して変更を保存します。 |
センサーのデプロイとアクセス
| タスク | 説明 |
|---|---|
 OT センサーのパスワードを回復する |
個々の OT センサーのみ。 [...] オプション メニューまたはセンサーの詳細ページから使用できます。 センサーのサインイン画面で取得したシークレット識別子を入力します。 |
| オンプレミスの管理コンソールのパスワードを復旧する | [サイトとセンサー] ツール バーの [その他のアクション] メニューから使用できます。 詳細については、「オンプレミス管理コンソールを管理する」を参照してください。 |
 アクティブ化ファイルをダウンロードする |
個々の OT センサーのみ。 [...] オプション メニューまたはセンサーの詳細ページから使用できます。 |
| センサー ゾーンを編集する |
個々のセンサーの場合のみ。[...] オプション メニューまたはセンサー詳細ページから。 [編集] を選択して、[ゾーン] メニューから新しいゾーンを選択するか、[新しいゾーンの作成] を選択します。 [送信] を選択して変更を保存します。 |
| SNMP MIB ファイルをダウンロードする | [サイトとセンサー] ツール バーの [その他のアクション] メニューから使用できます。 詳細については、「OT センサーで SNMP MIB の正常性監視を設定する」を参照してください。 |
| アクティブ化コマンドを作成する |
個々の Enterprise IoT センサーのみ。 [...] オプション メニューまたはセンサーの詳細ページから使用できます。 [編集] を選び、[Create activation command] (アクティブ化コマンドの作成) を選びます。 詳細については、Enterprise IoT センサー ソフトウェアのインストールに関する記事を参照してください。 |
| エンドポイント詳細のダウンロード | OT センサーのみ。 [サイトとセンサー] ツール バーの [その他のアクション] メニューから使用できます。 OT ネットワーク センサーからセキュリティで保護されたエンドポイントとして有効にする必要があるエンドポイントの一覧をダウンロードします。 HTTPS トラフィックがセンサーが Azure に接続するための一覧に示されているエンドポイントに対して、ポート 443 を介して有効になっていることを確認します。 送信許可ルールは、同じサブスクリプションにオンボードされているすべての OT センサーに対して 1 回定義されます。 このオプションを有効にするには、サポートされているソフトウェア バージョンのセンサー、またはサポートされているバージョンのセンサーが 1 つ以上あるサイトを選択します。 |
センサーのメンテナンスとトラブルシューティング
| タスク | 説明 |
|---|---|
 センサーの設定 (プレビュー) |
OT センサーのみ。 1 つ以上のクラウド接続 OT ネットワーク センサーに対して選択したセンサー設定を定義します。 詳細については、「Azure portal からの OT センサー設定の定義と表示 (パブリック プレビュー)」を参照してください。 その他の設定は、OT センサー コンソールまたはオンプレミス管理コンソールからも直接使用できます。 |
| センサー データをエクスポートする |
[サイトとセンサー] ツール バーからのみ使用できます。一覧表示されているすべてのセンサーの詳細情報を含む CSV ファイルをダウンロードできます。 |
 センサーを削除する |
個々のセンサーの場合のみ。[...] オプション メニューまたはセンサー詳細ページから。 |
 診断ファイルをサポートに送信する |
個々のローカルで管理される OT センサーのみ。 [...] オプション メニューから使用できます。 詳細については、「サポート用の診断ログをアップロードする」を参照してください |
センサーに格納されているフォレンジクス データを取得する
OT ネットワーク センサーで Azure Monitor ブックを使用して、そのセンサーのストレージからフォレンジクス データを取得します。 次の種類のフォレンジクス データは、そのセンサーによって検出されたデバイスの OT センサーにローカルに格納されます。
- デバイス データ
- アラート データ
- アラート PCAP ファイル
- イベント タイムライン データ
- ログ ファイル
データの種類ごとに保持期間と最大容量が異なります。 詳細については、「Azure Monitor ブックを使用して Microsoft Defender for IoT データを視覚化する」および「Microsoft Defender for IoT 全体のデータ保持」を参照してください。
OT センサーを再アクティブ化する
次のような場合は、OT センサーの再アクティブ化が必要になることがあります。
ローカル管理モードではなく、クラウド接続モードで作業する: 再アクティブ化後、既存のセンサー検出がセンサー コンソールに表示され、新しく検出されたアラート情報が Defender for IoT を通じて Azure portal に届けられます。 この情報は、Microsoft Sentinel など、他の Azure サービスと共有できます。
クラウド接続モードではなく、ローカル管理モードで作業する: 再アクティブ化後、センサー検出情報はセンサー コンソールにのみ表示されます。
センサーを新しいサイトに関連付ける: センサーを新しいサイト定義に再登録し、新しいアクティブ化ファイルを使用してアクティブ化します。
プランのコミットメントを変更する: 価格プランを試用版から月単位のコミットメントに変更するなどでプランを変更する場合、新しい変更を反映するためにセンサーを再アクティブ化する必要があります。
このような場合は、次の手順を実行します。
- 既存のセンサーを削除する。
- センサーを再度オンボードし、新しい設定で再登録する。
- 新しいアクティブ化ファイルをアップロードする。
センサーの正常性について
この手順では、Azure portal からセンサーの正常性データを確認する方法について説明します。 センサーの正常性には、トラフィックが安定しているか、センサーが過負荷になっているか、センサー ソフトウェアのバージョンに関する通知などのデータが含まれます。
全体的なセンサーの正常性を確認するには:
Azure portal の Defender for IoT から [サイトとセンサー] を選び、ウィジェットのグリッドの上にある全体的な正常性スコアを確認します。 次に例を示します。
サポート対象外 は、サポートされなくなったソフトウェア バージョンがセンサーにインストールされていることを意味します。
"異常" は、次のシナリオのいずれかを示しています。
- Azure へのセンサーのトラフィックが安定していない
- センサーが定期的なサニティ テストに失敗した
- センサーによって検出されたトラフィックがない
- センサー ソフトウェアのバージョンがサポートされなくなった
- Azure portal からのリモート センサーのアップグレードに失敗した
詳細については、「センサー正常性メッセージのリファレンス」を参照してください。
特定のセンサーの問題を確認するには、センサーの正常性でグリッドをフィルター処理し、確認する問題を 1 つまたは複数選びます。 次に例を示します。
フィルター処理されたサイトとセンサーを展開してグリッドに表示し、[センサーの正常性] 列を使って、さらに詳細を確認します。
推奨されるアクションをさらに掘り下げて理解するには、センサー名を選んでセンサーの詳細ページを開きます。
次に例を示します。
センサーの詳細の [概要] ページで、[正常性] セクションとそこに表示されているメッセージを展開し、詳細を確認します。 右側の [推奨事項] 列には、正常性の問題を処理するための推奨されるアクションが一覧表示されます。
詳細については、「センサー正常性メッセージのリファレンス」を参照してください。
サポート用の診断ログをアップロードする
ローカルで管理されるセンサーについてサポート チケットを開く必要がある場合は、サポート チームの Azure portal に診断ログをアップロードします。
ヒント
クラウドに接続されたセンサーの場合、サポート チケットを開くと、診断ログがサポート チームに自動的に送信されます。
診断レポートをアップロードするには:
アップロード可能な診断レポートがあることを確認します。 詳細については、「サポート用の診断ログをダウンロードする」を参照してください。
Azure portal の Defender for IoT で、[サイトとセンサー] ページに移動し、サポート チケットに関連するローカル管理のセンサーを選択します。
選択したセンサーで、右側の [...] オプション メニューを選択し、[診断ファイルをサポートに送信する] を選択します。 次に例を示します。
