エージェントベースの Microsoft Defender for IoT 実装の機能を確認する

  • 4 分

Microsoft Defender for IoT エージェントベースのソリューションは、組み込みと拡張の 2 つの機能ワークフローのいずれかを使用して実装できます

IoT Hub にある管理ポータルを使用すると、次のタスクを実行できます。

  • IoT Hub のセキュリティを管理します。
  • IoT Hub テレメトリに基づいてエージェントをインストールせずに、IoT デバイスのセキュリティの基本的な管理を実装します。
  • マイクロ エージェントに基づく IoT デバイスのセキュリティのための高度な管理を実装します。

組み込み機能

リアルタイムの監視、推奨事項、アラートを提供する組み込みの機能により、デバイスをシングルステップで可視化できます。 組み込み機能にアクセスする場合、どのデバイスにもエージェントをインストールする必要はなく、ログに記録されたアクティビティに対する高度な分析を使用してフィールド デバイスの分析と保護を行います。

新しい IoT Hub が作成されると、Microsoft Defender for IoT の組み込み機能が既定で有効になります。 既存の IoT Hub の場合は、Defender for IoT が有効であることを次のようにして確認できます。

  • Azure portal を使用して IoT Hub を開く。
  • 左側のメニューの [セキュリティ] で、[設定] を選択する。
  • [設定] ページで [データ収集] を選択し、[Enable Microsoft Defender for IoT] (Microsoft Defender for IoT を有効にする) が有効であることを確認します。

強化された機能

デバイスに Microsoft Defender for IoT マイクロ エージェントをインストールすると、強化された機能が提供されます。 マイクロ エージェントは、デバイスから生のセキュリティ イベントを収集、集計、分析します。 未加工のセキュリティ イベントには、IP 接続、プロセス作成、ユーザー ログイン、およびその他のセキュリティ関連情報が含まれる可能性があります。 Microsoft Defender for IoT マイクロ エージェントは、高いネットワーク スループットを回避するためにイベント集計も処理します。 エージェントは高度にカスタマイズ可能です。これにより、最速の SLA で重要な情報のみを送信するなど、特定のタスクを実行したり、広範なセキュリティ情報とコンテキストをより大きなセグメントに集計して、高いサービス コストを回避したりできます。

Diagram that shows Microsoft Defender for IoT micro agent within a security architecture.

マイクロ エージェントや他のアプリケーションでは、Azure 送信セキュリティ メッセージ SDK を使用して、セキュリティ情報を Azure IoT Hub に送信します。 IoT Hub はこの情報を取得し、Microsoft Defender for IoT サービスに転送します。

Microsoft Defender for IoT サービスが有効になると、Microsoft Defender for IoT による分析のために、転送されたデータとともに IoT Hub はそのすべての内部データも送信します。 このデータには、デバイス クラウド操作ログ、デバイス ID、および Hub 構成が含まれます。 この情報はすべて、Microsoft Defender for IoT 分析パイプラインを作成するのに役立ちます。

Microsoft Defender for IoT 分析パイプラインは、Microsoft と Microsoft パートナー内のさまざまなソースから脅威インテリジェンス ストリームも受け取ります。 Microsoft Defender for IoT の分析パイプライン全体は、サービス (カスタム アラートや送信セキュリティ メッセージ SDK の使用など) で行われたすべての顧客構成で動作します。

Microsoft Defender for IoT は分析パイプラインを使用して、すべての情報ストリームを結合し、アクション可能な推奨事項とアラートを生成します。 パイプラインには、セキュリティ研究者とエキスパートによって作成されたカスタム ルールと、標準的なデバイスの動作とリスク分析からの偏差を検索する機械学習モデルの両方が含まれています。

Microsoft Defender for IoT 推奨事項とアラート (分析パイプライン出力) は、各顧客の Log Analytics ワークスペースに書き込まれます。 生のイベント、アラート、推奨事項をワークスペースに含めると、検出された疑わしいアクティビティの正確な詳細を使用して詳細な調査とクエリを実行できます。