チュートリアル: 仮想 OT センサーをオンボードしてアクティブにする
このチュートリアルでは、Microsoft Defender for IoT の試用版サブスクリプションと独自の仮想マシンを使用して、Microsoft Defender for IoT の OT センサーを設定する基本について説明します。
完全なエンドツーエンドのデプロイの場合は、手順に従ってシステムを計画および準備し、設定の調整と微調整を詳細に実施してください。 詳細については、「OT 監視用の Defender for IoT をデプロイする」を参照してください。
注意
エンタープライズ IoT システムのセキュリティ監視を設定しようとしている場合は、「Defender for Endpoint で Enterprise IoT セキュリティを有効にする」を参照してください。
このチュートリアルでは、以下の内容を学習します。
- センサー用の VM を作成する
- 仮想センサーをオンボードする
- 仮想 SPAN ポートを構成する
- クラウド管理をプロビジョニングする
- 仮想センサー用のソフトウェアをダウンロードする
- 仮想センサー ソフトウェアをインストールする
- 仮想センサーをアクティブ化する
前提条件
始める前に、必ず以下のものを用意してください。
「クイックスタート: Defender for IoT での作業を開始する」を完了し、Azure サブスクリプションが Defender for IoT に追加されている。
セキュリティ管理者、共同作成者、または所有者としての Azure portal へのアクセス権。 詳細については、Defender for IoT での OT および Enterprise IoT 監視のための Azure ユーザー ロールに関するページを参照してください。
SPAN ポートを介したトラフィック監視をサポートするネットワーク スイッチがあることを確認します。 また、スイッチの SPAN ポートに接続された、監視するデバイスが少なくとも 1 つ必要になります。
VMware、ESXi 5.5 以降がセンサーにインストールされていて、動作している。
-
デプロイの種類 企業 Enterprise SMB 最大帯域幅 2.5 Gbps 800 Mbps 160 Mbps 保護される最大デバイス数 12,000 10,000 800 センサー アプライアンスに使用する次のネットワーク パラメーターの詳細:
- 管理ネットワークの IP アドレス
- センサーのサブネット マスク
- アプライアンスのホスト名
- DNS アドレス
- デフォルト ゲートウェイ
- 入力インターフェイス (ある場合)
センサー用の VM を作成する
この手順では、VMware ESXi を使用してセンサー用の VM を作成する方法について説明します。
Defender for IoT では、Hyper-V や物理センサーの使用など、他のプロセスもサポートされています。 詳細については、Defender for IoT のインストールに関する記事を参照してください。
センサー用の VM を作成するには:
コンピューターで VMware が実行されていることを確認してください。
ESXi にサインインし、関連するデータストアを選択して、 [Datastore Browser](データストア ブラウザー) を選択します。
イメージをアップロードし、 [閉じる] を選択します。
[仮想マシン] に移動してから、 [VM の作成/登録] を選択します。
[新しい仮想マシンの作成] を選択してから、 [次へ] を選択します。
センサー名を追加してから、次のオプションを定義します。
互換性: <最新の ESXi バージョン>
ゲスト OS ファミリ:Linux
ゲスト OS バージョン: Debian
[次へ] を選択します。
関連するデータストアを選択し、 [次へ] を選択します。
ニーズに応じた必要な仕様に従って、仮想ハードウェアのパラメーターを変更します。 詳細については、前のセクションの「前提条件」の表を参照してください。
これで、Defender for IoT ソフトウェアのインストール用に VM が準備されました。 引き続き、Azure portal でセンサーをオンボードし、トラフィック ミラーリングを構成し、クラウド管理用にマシンをプロビジョニングした後に、このチュートリアルの後半でソフトウェアをインストールします。
仮想センサーをオンボードする
Azure Defender for IoT センサーを使い始める前に、新しい仮想センサーを Azure サブスクリプションにオンボードする必要があります。
仮想センサーをオンボードするには:
Azure portal で、[Defender for IoT] > [作業の開始] ページにアクセスします。
左下の [OT/ICS セキュリティの設定] を選択します。
または、Defender for IoT の [サイトとセンサー] ページで、[OT センサーのオンボード]>[OT] の順に選択します。
既定では、[OT/ICS セキュリティの設定] ページで、ウィザードの [手順 1: センサーを設定しましたか?] と [手順 2: SPAN ポートまたは TAP の構成] は折りたたんで表示されます。
ソフトウェアをインストールし、後でデプロイ プロセスでトラフィック ミラーリングを構成しますが、アプライアンスを準備し、トラフィック ミラーリング方法を計画している必要があります。
[手順 3: このセンサーを Microsoft Defender for IoT に登録する] で、次の値を定義します。
フィールド名 説明 リソース名 センサーが属するサイトを選ぶか、[サイトの作成] を選んで新しいサイトを作成します。
新しいサイトを作成する場合:
1. [新しいサイト] フィールドにサイトの名前を入力し、チェックマーク ボタンを選びます。
2. [サイト サイズ] メニューでサイトのサイズを選びます。 このメニューに表示されるサイズは、Microsoft 365 管理センターで購入したライセンスに基づいてライセンスが付与されているサイズです。表示名 Defender for IoT 全体に表示される、わかりやすいサイト名を入力します。 タグ Azure portal でサイトとセンサーを識別して見つけやすいように、[タグ] の [キー] と [値] を入力します。 ゾーン OT センサーに使用するゾーンを選ぶか、[ゾーンの作成] を選択して新しいゾーンを作成します。 詳細については、「OT サイトとゾーンを計画する」を参照してください。
他のすべてのフィールドの設定が完了したら、[登録] を選択して、センサーを Defender for IoT に追加します。 成功メッセージが表示され、アクティブ化ファイルが自動的にダウンロードされます。 アクティブ化ファイルはセンサーに固有であり、センサーの管理モードに関する指示が含まれています。
Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されているため、マシンは署名された資産のみを使用します。
ダウンロードしたアクティブ化ファイルを、コンソールに初めてサインインするユーザーがアクセスできる場所に保存し、ユーザーがセンサーをアクティブ化できるようにします。
[センサーのアクティブ化] ボックスで関連するリンクを選択して、ファイルを手動でダウンロードすることもできます。 下で説明するように、このファイルを使用してセンサーをアクティブにします。
[送信許可ルールの追加] ボックスで、[エンドポイントの詳細のダウンロード] リンクを選択して、センサーからセキュリティで保護されたエンドポイントとして構成する必要があるエンドポイントの JSON リストをダウンロードします。
ダウンロードしたファイルをローカルに保存します。 このチュートリアルの後半でダウンロードしたファイルに記載されているエンドポイントを使って、新しいセンサーが Azure に正常に接続できるようにします。
ヒント
[サイトとセンサー] ページから必要なエンドポイントの一覧にアクセスすることもできます。 詳細については、「Azure portal のセンサー管理オプション」を参照してください。
ページの左下にある [完了] を選択します。 Defender for IoT の [サイトとセンサー] ページに新しいセンサーが表示されるようになりました。
センサーをアクティブにするまで、センサーの状態は [アクティブ化の保留中] と表示されます。
詳細については、「Azure portal で Defender for IoT を使用してセンサーを管理する」を参照してください。
SPAN ポートを構成する
仮想スイッチにはミラーリング機能がありません。 ただし、このチュートリアルのために、仮想スイッチ環境で "無作為検出モード" を使用して、仮想スイッチを通過するすべてのネットワーク トラフィックを表示できます。
この手順では、VMware ESXi で回避策を使用して SPAN ポートを構成する方法について説明します。
Note
無作為検出モードは、仮想スイッチと同じポートグループ レベルにある VM のインターフェイスでスイッチのネットワーク トラフィックを表示するための動作モードであり、セキュリティ監視手法です。 無作為検出モードは既定で無効になっていますが、仮想スイッチまたはポートグループ レベルで定義できます。
ESXi v-Switch 上で 無作為検出モードを使って監視インターフェイスを構成するには:
[vSwitch のプロパティ] ページを開き、[標準仮想スイッチの追加] を選びます。
ネットワーク ラベルとして「SPAN Network」と入力します。
[MTU] フィールドに「4096」と入力します。
[セキュリティ] を選択し、 [Promiscuous Mode](無作為検出モード) ポリシーが [Accept](承認) モードに設定されていることを確認します。
[追加] を選び、[vSwitch のプロパティ] を閉じます。
作成した vSwitch を強調表示し、[アップリンクの追加] を選びます。
SPAN トラフィックに使用する物理 NIC を選び、MTU を「4096」に変更して、[保存] を選びます。
[ポート グループ のプロパティ] ページを開き、[ポート グループの追加] を選びます。
名前に「SPAN ポート グループ」、VLAN ID に「4095」を入力して、[vSwitch] ドロップダウンで [SPAN ネットワーク] を選び、[追加] を選びます。
OT センサー VM のプロパティを開きます。
[Network Adapter 2](ネットワーク アダプター 2) で [SPAN] ネットワークを選択します。
[OK] を選択します。
センサーに接続し、ミラーリングが動作していることを確認します。
トラフィック ミラーリングを検証する
トラフィック ミラーリングを構成したら、スイッチの SPAN (またはミラー) ポートから記録されたトラフィック (PCAP ファイル) のサンプルの受信を試みます。
サンプルの PCAP ファイルは、次の場合に役立ちます。
- スイッチの構成を検証する
- スイッチを通過するトラフィックが監視に関連していることを確認する
- スイッチによって検出されたデバイスの帯域幅と推定数を特定する
Wireshark などのネットワーク プロトコル アナライザー アプリケーションを使用して、サンプル PCAP ファイルを数分間記録します。 たとえば、トラフィック監視を構成したポートにノート PC を接続します。
記録するトラフィックにユニキャスト パケットがあることを確認します。 ユニキャスト トラフィックは、アドレスから別のアドレスに送信されるトラフィックです。
ほとんどのトラフィックが ARP メッセージの場合は、トラフィック ミラーリングの構成が正しくありません。
分析されたトラフィックに OT プロトコルが存在することを確認します。
次に例を示します。
クラウド管理をプロビジョニングする
このセクションでは、OT センサーが Azure に接続できるように、ファイアウォール規則で定義するエンドポイントを構成する方法について説明します。
詳細については、「センサーを Azure に接続する方法」を参照してください。
エンドポイントの詳細を構成するには:
前にダウンロードしたファイルを開き、必要なエンドポイントの一覧を表示します。 センサーがポート 443 経由で必要な各エンドポイントにアクセスできるように、ファイアウォール規則を構成します。
ヒント
Azure portal の [サイトとセンサー] ページから必要なエンドポイントの一覧をダウンロードすることもできます。 [サイトとセンサー]>[その他のアクション]>[エンドポイントの詳細のダウンロード] の順に移動します。 詳細については、「Azure portal のセンサー管理オプション」を参照してください。
詳細については、「クラウド管理用のセンサーをプロビジョニングする」を参照してください。
仮想センサー用のソフトウェアをダウンロードする
このセクションでは、センサー ソフトウェアを自分のコンピューターにダウンロードしてインストールする方法について説明します。
仮想センサー用のソフトウェアをダウンロードするには:
Azure portal で、[Defender for IoT] > [作業の開始] ページにアクセスし、[センサー] タブを選択します。
[アプライアンスを購入し、ソフトウェアをインストールする] ボックスで、既定のオプション (最新かつ推奨のソフトウェア バージョン) が選択されていることを確認して [ダウンロード] を選択します。
ダウンロードしたソフトウェアを、VM からアクセスできる場所に保存します。
Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されているため、マシンは署名された資産のみを使用します。
センサー ソフトウェアをインストールする
この手順では、VM にセンサー ソフトウェアをインストールする方法について説明します。
注意
この手順の終盤で、デバイスのユーザー名とパスワードが表示されます。 これらは必ず書き留めておいてください。これらのパスワードは二度と表示されません。
仮想センサーでソフトウェアをインストールするには:
VM を閉じた場合は、もう一度 ESXi にサインインし、VM の設定を開きます。
[CD/DVD ドライブ 1] で、[データストア ISO ファイル] を選択し、以前にダウンロードした Defender for IoT ソフトウェアを選択します。
[次へ]>[完了] の順に選択します。
VM の電源をオンにし、コンソールを開きます。
インストールが起動すると、インストール プロセスを開始するように求められます。 [iot-sensor-
<version number>
のインストール] 項目を選択して続行します。または 30 秒後に自動的に開始します。 次に例を示します。注意
レガシ BIOS バージョンを使用している場合は、言語の選択を求めるメッセージが表示され、インストール オプションは中央ではなく左上に表示されます。 メッセージが表示されたら、[
English
] を選択し、[iot-sensor-<version number>
のインストール] オプションを選択して続行します。インストールが開始され、進行に応じてステータス メッセージが更新されます。 インストール プロセス全体の所要時間は最大 20 ~ 30 分で、使用しているメディアの種類によって異なる場合があります。
インストールが完了すると、次の既定のネットワークの詳細セットが表示されます。
IP: 172.23.41.83, SUBNET: 255.255.255.0, GATEWAY: 172.23.41.1, UID: 91F14D56-C1E4-966F-726F-006A527C61D
指定された既定の IP アドレスを使用して、初期セットアップとアクティブ化のためにセンサーにアクセスします。
インストール後の検証
この手順では、センサー独自のシステム正常性チェックを使用してインストールを検証する方法について説明します。これは、既定の "管理者" ユーザーが使用できます。
インストールを検証するには、次のようにします。
admin
ユーザーとして OT センサーにサインインします。[システム設定]>[センサー管理]>[システム正常性チェック] を選択します。
次のコマンドを選択します。
- [アプライアンス]: システムが動作していることを確認します。 各行の項目が [実行中] と表示されており、最後の行は [システム稼働中] と表示されていることを確認します。
- [バージョン] 正しいバージョンがインストールされていることを確認します。
- [ifconfig]: インストール中に構成したすべての入力インターフェイスが動作していることを確認します。
ゲートウェイ、DNS、ファイアウォールのチェックなど、インストール後の検証テストの詳細については、「OT センサー ソフトウェアのインストールを検証する」を参照してください。
初期セットアップを定義する
次の手順では、次のようなセンサーの初期セットアップ設定を構成する方法について説明します。
- センサー コンソールへのサインインと "管理者" ユーザーのパスワードの変更
- センサーのネットワーク詳細の定義
- 監視するインターフェイスの定義
- センサーのアクティブ化
- SSL/TLS 証明書の設定の構成
センサー コンソールにサインインし、既定のパスワードを変更する
この手順では、OT センサー コンソールに初めてサインインする方法について説明します。 管理者ユーザーの既定のパスワードを変更するように求められます。
センサーにサインインするには:
ブラウザーで、
192.168.0.101
IP アドレスに移動します。これは、インストールの最後にセンサーに提供される既定の IP アドレスです。初回サインイン ページが表示されます。 次に例を示します。
次の資格情報を入力し、[ログイン] を選択します。
- ユーザー名:
support
- パスワード:
support
管理者ユーザーの新しいパスワードを定義するように求められます。
- ユーザー名:
[新しいパスワード] フィールドに、新しいパスワードを入力します。 パスワードには、小文字と大文字のアルファベット、数字、記号を含める必要があります。
[新しいパスワードの確認] フィールドに新しいパスワードをもう一度入力し、[開始する] を選択します。
詳細については、「既定の特権ユーザー」を参照してください。
[Defender for IoT | 概要] ページで、[管理インターフェイス] タブが開きます。
センサー ネットワークの詳細を定義する
[管理インターフェイス] タブで、以下のフィールドを使用して、新しいセンサーのネットワークの詳細を定義します。
このチュートリアルでは、[クラウド接続のプロキシを有効にする (省略可能)] 領域のプロキシ構成をスキップします。
完了したら、[次へ: インターフェイスの構成] を選択して続行します。
監視するインターフェイスを定義する
[インターフェイス接続] タブには、既定で、センサーによって検出されたすべてのインターフェイスが表示されます。 このタブを使用して、インターフェイスごとに監視をオンまたはオフにしたり、各インターフェイスの特定の設定を定義したりできます。
ヒント
アクティブに使用されているインターフェイスのみを監視するように設定を構成して、センサーのパフォーマンスを最適化することをお勧めします。
[インターフェイス構成] タブで以下を実行し、監視対象のインターフェイスの設定を構成します。
センサーで監視するインターフェイスの [有効/無効] トグルを選択します。 続行するには、少なくとも 1 つのインターフェイスを選択する必要があります。
使用するインターフェイスがわからない場合は、[物理インターフェイス LED を点滅させる] ボタンを選択して、選択したポートをマシンで点滅させます。 スイッチに接続したインターフェイスのいずれかを選択します。
このチュートリアルでは、詳細設定をスキップし、[次へ: 再起動 >] を選択して続行します。
メッセージが表示されたら、[再起動の開始] を選択してセンサー コンピューターを再起動します。 センサーが再び起動すると、センサー IP アドレス として前に定義した IP アドレスに自動的にリダイレクトされます。
[キャンセル] を選択して再起動されるのを待ちます。
OT センサーをアクティブにする
この手順では、新しい OT センサーをアクティブ化する方法について説明します。
センサーをアクティブにするには:
[アクティブ化] タブで、[アップロード] を選択して、Azure portal からダウンロードしたセンサーのアクティブ化ファイルをアップロードします。
使用条件オプションを選択し、[次へ: 証明書] を選択します。
SSL/TLS 証明書の設定を構成する
[証明書] タブを使用して、OT センサーに SSL/TLS 証明書を展開します。 すべての運用環境で CA 署名証明書を使用することをお勧めしますが、このチュートリアルでは、自己署名証明書を使用するように選択します。
SSL/TLS 証明書の設定を構成するには:
[証明書] タブで、[ローカルで生成された自己署名証明書を使用する (推奨されません)] を選択し、[確認] オプションを選択します。
詳細については、「オンプレミス リソースの SSL/TLS 証明書の要件」および「OT アプライアンスの SSL/TLS 証明書を作成する」を参照してください。
[完了] を選択して初期セットアップを完了し、センサー コンソールを開きます。