OT アラートの学習したベースラインを作成する
この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明する一連の記事の 1 つであり、OT センサーで学習したトラフィックのベースラインを作成する方法について説明します。
学習モードについて
OT ネットワーク センサーは、ネットワークに接続され、サインインの完了後、ネットワークの監視を自動的に開始します。 ネットワーク デバイスがデバイス インベントリに表示され始め、ネットワークで発生したセキュリティまたは運用上のインシデントに対してアラートがトリガーされます。
最初に、このアクティビティは "学習" モードで行われます。このモードでは、ネットワーク内のデバイスとプロトコルを含むネットワークの通常のアクティビティと、特定のデバイス間で発生する通常のファイル転送を学習するように OT センサーが指示されます。 定常的に検出されるアクティビティが、ネットワークのベースライン トラフィックになります。
ヒント
学習モードの時間を使ってアラートをトリアージし、承認された期待されるアクティビティとしてマークするアラートを "学習" します。 学習されたトラフィックについては、次回同じトラフィックが検出されても新しいアラートは生成されません。
学習モードをオフにすると、ベースライン データと異なるアクティビティによってアラートがトリガーされます。
詳細については、「Microsoft Defender for IoT アラート」を参照してください。
学習モードのタイムライン
OT アラートのベースライン作成には、ネットワークのサイズと複雑さに応じて、数日から数週間かかります。 2 から 6 週間経って、1 日のアラート数が管理可能なレベルまで減ったら、学習モードを動的モードに手動で変更することをお勧めします。 動的モードの Defender for IoT では、ネットワークで疑わしいトラフィックが継続的に監視され、アラートがトリガーされて、一定の期間トリガーされないアラートのアラート カテゴリは運用モードに自動的に移動されます。
運用モードでは、生成されたすべてのアラートはインベントリにリストされており、アラートの詳細ウィンドウに一覧表示されるアクションに従って修復する必要があります。 安全なネットワーク トラフィックによってアラートがトリガーされた場合は、[学習] ボタンを使ってこのトラフィックをベースライン リストに追加し、今後センサーがこれに対するアラートを生成しないようにする必要があります。
アラートのレベルがネットワーク アクティビティを正確に反映している場合は、学習モードを手動でオフにします。
前提条件
この記事の手順は、Azure portal または OT センサーから実行できます。
開始する前に、以下を用意してください。
セキュリティ アナリストまたは管理者ユーザーとして OT センサーにアクセスできること。 詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。
アラートをトリアージする
デプロイの最後に向けてアラートをトリアージして、ネットワーク アクティビティの初期ベースラインを作成します。
OT センサーにサインインし、[アラート] ページを選択します。
並べ替えとグループ化のオプションを使用して、最も重要なアラートを先頭に表示します。 各アラートを確認して状態を更新し、OT 承認トラフィックのアラートについて学習します。
詳細については、「OT センサーでアラートを表示および管理する」を参照してください。
次のステップ
学習モードがオフになった後、"学習" モードから "運用" モードに移行しました。 次のいずれかに進んでください。
- Azure Monitor ブックを使用して Microsoft Defender for IoT データを視覚化する
- Azure portal からのアラートの表示と管理
- Azure portal でデバイス インベントリを管理する
Defender for IoT データを Microsoft Sentinel と統合して、SOC チームのセキュリティ監視を統合します。 詳細については、次を参照してください。