イベント タイムラインでネットワークとセンサーのアクティビティを追跡する

  • [アーティクル]

Microsoft Defender for IoT センサーによって検出されたアクティビティは、イベント タイムラインに記録されます。 アクティビティには、アラートとアラート管理アクション、ネットワーク イベント、ユーザー サインインやユーザーの削除などのユーザー操作が含まれます。

OT センサーのイベント タイムラインによって、インシデントの原因と影響の特定に役立つ、すべてのネットワーク アクティビティの時系列ビューとコンテキストが提供されます。 タイムライン ビューを使用すると、ネットワーク イベントから情報を簡単に抽出し、ネットワーク上で観察されたアラートやイベントをより効率的に分析できます。 膨大な量のデータを格納できるイベント タイムライン ビューは、セキュリティ チームが調査を実行し、ネットワーク アクティビティをより深く理解するための貴重なリソースになる可能性があります。

調査中にイベント タイムラインを使用して、攻撃またはインシデントの前後に発生した一連のイベントを解釈して分析します。 同じタイムライン上の複数のセキュリティ関連イベントを一元的に表示することで、パターンと相関関係を特定し、セキュリティ チームがインシデントの影響をすばやく評価し、それに応じて対応できるようになります。

詳細については、次を参照してください。

アクセス許可

この記事で説明する手順を実行する前に、OT センサーに管理者または セキュリティ ロールとしてアクセスできることを確認してください。 詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。

イベント タイムラインを表示する

  1. センサー コンソールにサインインし、左側のメニューから [イベント タイムライン] を選択します。

  2. 必要に応じてイベントを確認し、フィルター処理します。

  3. イベント行を選択すると、右側のウィンドウにイベントの詳細が表示されます。ここで、フィルター処理して関連デバイスのイベントを表示することもできます。 [ユーザー操作] フィルターは既定でオンになっています。必要に応じて、ユーザー イベントを非表示または表示するように選択できます。

    次に例を示します。

    イベント タイムライン上のイベントのスクリーンショット。

また、[デバイス インベントリ] から特定のデバイスのイベント タイムラインを表示することもできます。

特定のデバイスのイベント タイムラインを表示するには:

  1. センサー コンソールで、[デバイス インベントリ] に移動します。

  2. 特定のデバイスを選択してデバイスの詳細ウィンドウを開き、[すべての詳細を表示] を選択してデバイスのプロパティ ページを開きます。

  3. [イベント タイムライン] タブを選択して、このデバイスに関連付けられているすべてのイベントを表示し、必要に応じてイベントをフィルター処理します。

    次に例を示します。

    デバイスのプロパティ ページの [イベント タイムライン] タブのスクリーンショット。

タイムライン上のイベントをフィルター処理する

  1. イベント タイムライン ページで、[フィルターの追加] を選択して、表示されるイベントを指定します。

  2. フィルターの [種類] を選択します。 次のいずれかのオプションを使用して、表示されるデバイスをフィルター処理します。

    説明
    ユーザーの操作 このフィルターは既定でオンになっています。ユーザー操作イベントを表示または非表示にすることを選択します。
    日付 特定の日付範囲内のイベントを検索します。
    デバイス グループ デバイス マップで定義されたグループで特定のデバイスをフィルター処理します。
    イベントの重大度 [アラートのみ][アラートと通知]、または [すべてのイベント] を表示します。
    デバイスの除外 除外するデバイスを検索してフィルター処理します。
    デバイスを含める 含めるデバイスを検索してフィルター処理します。
    イベントの種類を除外する 除外する特定のイベントの種類を検索してフィルター処理します。
    イベントの種類を含める 含める特定のイベントの種類を検索してフィルター処理します。
    キーワード 特定のキーワードでイベントをフィルター処理します。

  3. [適用] を選択してフィルターを設定します。

CSV にイベント タイムラインをエクスポートする

イベント タイムラインを CSV ファイルにエクスポートできます。エクスポートされたデータは、エクスポート時に適用されるフィルターに従います。

イベント タイムラインをエクスポートするには:

[イベント タイムライン] ページで、上部のメニューから [エクスポート] を選択して、イベント タイムラインを CSV ファイルにエクスポートします。

イベントの作成

センサーによって検出されたイベントを表示するだけでなく、タイムラインにイベントを手動で追加することもできます。 このプロセスが役立つのは、お使いのネットワークに外部システムのイベントによる影響があり、それをタイムラインに記録する場合です。

  1. [イベント タイムライン] ページで、[イベントの作成] を選択します。

  2. [イベントの作成] ダイアログで、次のイベントの詳細を追加します。

    • [種類] 。 イベントの種類 (情報、通知、またはアラート) を指定します。

    • Timestamp。 イベントの日付と時刻を設定します。

    • デバイス。 イベントが接続されるデバイスを選択します。

    • 説明。 イベントの説明を入力します。

  3. [保存] を選択して、タイムラインにイベントを追加します。

次に例を示します。

タイムラインで新しいイベントを作成するスクリーンショット。

イベント タイムラインの容量

イベント タイムラインに格納できるデータの量は、ネットワークのサイズ、イベントの頻度、センサーのストレージ容量など、さまざまな要因によって異なります。 イベント タイムラインに格納されているデータには、ネットワーク トラフィック、セキュリティ イベント、およびその他の関連データ ポイントに関する情報を含めることができます。

イベント タイムラインに表示されるイベントの最大数は、センサーのインストール時に選択されたハードウェア プロファイルによって異なります。 各ハードウェア プロファイルには、イベントの最大容量があります。 各ハードウェア プロファイルの最大イベント容量の詳細については、「OT イベント タイムラインの保持」を参照してください。

次の手順

詳細については、次を参照してください。