Microsoft Defender for IoT の新機能
この記事では、Microsoft Defender for IoT で使用できる機能について、OT と Enterprise IoT ネットワークの両方、オンプレミスと Azure portal の両方、および過去 9 か月間にリリースされたバージョンを対象に説明します。
9 か月前よりも前にリリースされた機能については、組織向け Microsoft Defender for IoT の新機能のアーカイブで説明されています。 OT 監視ソフトウェアのバージョン固有の詳細については、OT 監視ソフトウェアのリリース ノートを参照してください。
注意
次に記載されている機能はプレビューの中にあります。 Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される他の法律条項が含まれています。
Note
この記事では、Azure portal 上の Microsoft Defender for IoT について説明します。
統合された IT/OT エクスペリエンスが必要な Microsoft Defender のお客様は、Microsoft Defender ポータル (プレビュー) のドキュメント にある Microsoft Defender for IoT のドキュメントを参照してください。
Defender for IoT 管理ポータルの詳細を確認する。
オンプレミスの管理コンソールの廃止
レガシのオンプレミス管理コンソールは、2025 年 1 月 1 日以降はダウンロードできなくなります。 この日付になる前に、オンプレミスおよびクラウドのすべての API を使用した新しいアーキテクチャに移行することをお勧めします。 詳細については、「オンプレミス管理コンソールの廃止」を参照してください。
2024 年 12 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | - DDoS 攻撃アラートでの複数のソース デバイスのサポート |
DDoS 攻撃アラートでの複数のソース デバイスのサポート
アラートの詳細に、DDoS 攻撃に関連するソース デバイスが最大 10 個まで表示されるようになりました。
2024 年 10 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | - 許可リストのドメイン名にワイルドカードを追加する - プロトコルの追加 - 新しいセンサー設定の種類: パブリック アドレス - OT センサーのオンボードの改善 |
許可リストのドメイン名にワイルドカードを追加する
FQDN 許可リストにドメイン名を追加する際に、すべてのサブドメインを含めるためにワイルドカード *
を使用します。 詳細については、「OT ネットワークでのインターネット接続の許可」を参照してください。
プロトコルの追加
OCPI プロトコルがサポートされるようになりました。 更新されたプロトコルの一覧を参照してください。
新しいセンサー設定の種類: パブリック アドレス
パブリック アドレスという種類がセンサー設定に追加されます。これで、内部使用に使用されているため追跡すべきではないパブリック IP アドレスを除外できるようになります。 詳細については、センサー設定の追加に関するページを参照してください。
OT センサーのオンボードの改善
センサーのオンボーディング中、構成段階で OT センサーと Azure portal の間で接続の問題が発生した場合、接続の問題が解決されるまでプロセスを完了できません。
通信の問題を解決する必要なく構成プロセスを完了できるようになりました。これにより、OT センサーのオンボーディングを迅速に続行し、後で問題を解決することができます。 詳細については、「OT センサーをアクティブにする」を参照してください。
2024 年 7 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | - Security update |
Security update
この更新プログラムを適用すると、ソフトウェア バージョン 24.1.4 の機能ドキュメントに記載されている CVE が解決します。
2024 年 6 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | - 悪意のある URL パス アラート - 新たにサポートされるようになったプロトコル |
悪意のある URL パス アラート
新しいアラート「悪意のある URL パス」は、正規の URL に含まれる悪意のあるパスを識別できるようにするものです。 悪意のある URL パス アラートは、Defender for IoT の脅威識別を拡張し、幅広いサイバー脅威に対抗するために重要な汎用 URL シグネチャを含みます。
このアラートの詳細については、マルウェア エンジンのアラート表で説明されています。
新たにサポートされるようになったプロトコル
Open プロトコルがサポートされるようになりました。 更新されたプロトコルの一覧を参照してください。
2024 年 4 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | - センサー コンソールのシングル サインオン - センサー時間のずれの検出 - Security update |
センサー コンソールのシングル サインオン
Microsoft Entra ID を使用して、Defender for IoT センサー コンソールのシングル サインオン (SSO) を設定できます。 SSO により、組織のユーザーによるサインイン操作がシンプルになり、組織は規制標準を満たせるようになり、セキュリティ体制が強化されます。 SSO を使えば、さまざまなセンサーやサイトにまたがる場合でも、複数のログイン資格情報を持つ必要がありません。
Microsoft Entra ID を使用することで、オンボード プロセスとオフボード プロセスが簡素化され、管理オーバーヘッドが軽減され、組織全体で一貫したアクセス制御が確保されます。
詳細については、センサー コンソールのシングル サインオンの設定に関するページをご覧ください。
センサー時間のずれの検出
このバージョンでは、時間のずれの問題を特定するために特別に設計された、接続ツール機能に新しいトラブルシューティング テストが導入されています。
Azure portal でセンサーを Defender for IoT に接続するときの一般的な課題の 1 つは、センサーの UTC 時刻の不一致によって発生します。これは、接続の問題につながる可能性があります。 この問題に対処するには、センサー設定で Network Time Protocol (NTP) サーバーを構成することをお勧めします。
Security update
この更新プログラムを適用すれば、ソフトウェア バージョン 24.1.3 の機能ドキュメントに記載されている 6 つの CVE が解決します。
2024 年 2 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | バージョン 24.1.2: - Azure portal からのアラート抑制ルール (パブリック プレビュー) - OT/IT 環境での集中アラート - アラート ID は Azure portal とセンサー コンソールに配置されるようになりました - 新たにサポートされるようになったプロトコル クラウド機能 - Azure portal での新しいライセンス更新のリマインダー - 新しい OT アプライアンス ハードウェア プロファイル - SNMP MIB OID の新しいフィールド |
Azure portal からのアラート抑制ルール (パブリック プレビュー)
本来であればアラートをトリガーするはずのネットワーク上の特定のトラフィックについて OT センサーに指示するように、Azure portal からアラート抑制ルールを構成できるようになりました。
- アラートのタイトル、IP/MAC アドレス、ホスト名、サブネット、センサー、またはサイトを指定して、抑制するアラートを構成します。
- 各抑制ルールをアクティブにするのは、常に、または特定のメンテナンス期間など、定義済みの期間中のみに設定します。
ヒント
オンプレミスの管理コンソールで現在除外ルールを使用している場合は、Azure portal でそれらを抑制ルールに移行することをお勧めします。 詳細については、無関係なアラートの抑制に関するページを参照してください。
OT/IT 環境での集中アラート
OT と IT ネットワークの間にセンサーが展開されている組織では、OT と IT の両方のトラフィックに関連する多くのアラートが処理されます。 (一部は無関係である) 大量のアラートは、アラートによる疲弊を引き起こし、全体的なパフォーマンスに影響を与える可能性があります。
これらの課題に対処するために、Defender for IoT の検出ポリシーを更新し、ビジネスへの影響とネットワーク コンテキストに基づいてアラートを自動的にトリガーすることで、価値の低い IT 関連のアラートを減らしました。
この更新プログラムは、センサー バージョン 24.1.3 以降で使用できます。
詳細については、「OT/IT 環境での集中アラート」を参照してください。
アラート ID は Azure portal とセンサー コンソールに配置されるようになりました
Azure portal の [アラート] ページの Id 列のアラート ID に、センサー コンソールと同じアラート ID が表示されるようになりました。 Azure portal でアラートの詳細を確認してください。
Note
アラートが同じアラートを検出したセンサーからの他のアラートとマージされた場合、Azure portal には、アラートを生成した最初のセンサーのアラート ID が表示されます。
新たにサポートされるようになったプロトコル
次のプロトコルがサポートされるようになりました。
- HART-IP
- FANUC FOCAS
- Dicom
- ABB NetConfig
- Rockwell AADvance Discover
- Rockwell AADvance SNCP/IXL
- Schneider NetManage
L60 ハードウェア プロファイルはサポートされなくなりました
L60 ハードウェア プロファイルはサポートされなくなり、サポート ドキュメントから削除されます。 ハードウェア プロファイルに最低 100 GB が必要になりました (最小のハードウェア プロファイルは L100 になりました)。
L60 プロファイルからサポートされているプロファイルに移行するには、OT ネットワーク センサーのバックアップと復元に関する記事の手順に従います。
Azure portal での新しいライセンス更新のリマインダー
1 つ以上の OT サイトのライセンスが期限切れ近くになると、Azure portal の Defender for IoT の上部にライセンスの更新を促す通知が表示されます。 Defender for IoT のセキュリティ機能を引き続き利用するには、通知のリンクを選び、Microsoft 365 管理センターで関連するライセンスを更新してください。 Defender for IoT での課金について詳細を確認してください。
新しい OT アプライアンス ハードウェア プロファイル
DELL XE4 SFF アプライアンスは、OT センサー監視生産ラインでサポートされるようになりました。 これは、"生産ライン" 環境である L500 ハードウェア プロファイルの一部であり、6 個のコア、8 GB RAM、512 GB のディスク ストレージを備えています。
詳細については、「DELL XE4 SFF」を参照してください。
SNMP MIB OID の新しいフィールド
標準の汎用フィールドが SNMP MiB OID に追加されました。 フィールドの完全な一覧については、「手動 SNMP 構成の OT センサー OID」を参照してください。
2024 年 1 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | Azure portal でのセンサーの更新で、特定のバージョンを選択できるようになりました |
Azure portal でのセンサーの更新で、特定のバージョンを選択できるようになりました
Azure portal でセンサーを更新するときに、サポートされている以前のバージョン (最新バージョン以外のバージョン) に更新することを選択できるようになりました。 以前は、Azure portal で Microsoft Defender for IoT にオンボードされたセンサーは、最新バージョンに自動的に更新されていました。
テスト目的など、さまざまな理由でセンサーを特定のバージョンに更新したり、すべてのセンサーを同じバージョンに合わせたりすることができます。
詳細については、「Defender for IoT OT モニタリング ソフトウェアの更新」を参照してください。
| OT ネットワーク |バージョン 24.1.0:
- Azure portal からのアラート抑制ルール (パブリック プレビュー)|
2023 年 12 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | ハイブリッドおよびエアギャップのための新規アーキテクチャのサポート バージョン 23.2.0: - OT ネットワーク センサーが Debian 11 で実行されるようになりました - 既定の特権ユーザーがサポートの代わりに管理者になりました クラウド機能: - クラウドベースのセンサーの更新のライブ状態 - SecurityAlert テーブルのアラート レコードの合理化 |
OT ネットワーク センサーが Debian 11 で実行されるようになりました
センサー バージョン 23.2.0 が、Ubuntu ではなく Debian 11 オペレーティング システムで実行されます。 Debian は、サーバーや組み込みデバイスに広く使用されている Linux ベースのオペレーティング システムであり、他のオペレーティング システムより軽量で、その安定性、セキュリティ、広範なハードウェア サポートで知られています。
センサー ソフトウェアのベースとして Debian を使用すると、センサーにインストールするパッケージの数が減り、システムの効率とセキュリティが向上します。
オペレーティング システムを切り替えるので、レガシ バージョンからバージョン 23.2.0 へのソフトウェア更新プログラムが通常よりも長く、重くなる可能性があります。
詳細については、「センサー コンソールから OT ネットワーク センサーをバックアップおよび復元する」および「Defender for IoT OT 監視ソフトウェアを更新する」を参照してください。
既定の特権ユーザーがサポートの代わりに管理者になりました
バージョン 23.2.0 からは、新しい OT センサーのインストールでインストールされる既定の特権ユーザーが、"サポート" ユーザーではなく、"管理者" ユーザーになります。
たとえば、特権 "管理者" ユーザーは次のシナリオで使用します。
インストール後に初めて新しいセンサーにサインインする。 詳細については、「OT センサーを構成してアクティブ化する」を参照してください。
Defender for IoT CLI を使用する。 詳しくは、「Defender for IoT の CLI コマンドを操作する」を参照してください。
センサーのサポート ページにアクセスする。
重要
センサー ソフトウェアを以前のバージョンからバージョン 23.2.0 に更新すると、特権 "サポート" ユーザーは自動的に "管理者" に名前が変更されます。CLI スクリプトなどの "サポート" の資格情報を保存している場合は、代わりに新しい "管理者" ユーザーを使用するようにスクリプトを更新する必要があります。
レガシの "サポート" ユーザーは、23.2.0 より前のバージョンでのみ使用でき、サポートされます。
詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。
ハイブリッドおよびエアギャップのための新規アーキテクチャのサポート
ハイブリッドとエアギャップのネットワークは、政府、金融サービス、工業生産など、多くの業界で一般的です。 エアギャップ ネットワークは、エンタープライズ ネットワークやインターネットなど、セキュリティで保護されていない他の外部ネットワークから物理的に分離されているため、サイバー攻撃を受けにくくなります。 ただし、それでもエアギャップ ネットワークの安全性は完ぺきというわけではなく、侵害されるおそれがあり、セキュリティ保護と監視を慎重に行う必要があります。
Defender for IoT では、ハイブリッドとエアギャップのネットワークに接続して監視するための新たなガイダンスを用意しています。 新しいアーキテクチャ ガイダンスは、SOC 操作の効率、セキュリティ、信頼性を向上するように設計されており、保守とトラブルシューティングを行うコンポーネントを少なくしています。 新しいアーキテクチャで使用されるセンサー テクノロジでは、オンプレミスでの処理を可能にして、データを独自のネットワーク内に保持し、必要なクラウド リソースを減らしてパフォーマンスを向上します。
次の図は、Defender for IoT システムの監視と保守に関する推奨事項のサンプルの概要アーキテクチャを示しています。ここでは、各 OT センサーが、クラウドまたはオンプレミスの複数のセキュリティ管理システムに接続しています。
このサンプル画像では、アラート、syslog メッセージ、API の通信が黒の実線で示されています。 オンプレミスの管理通信は紫の実線で示され、クラウド/ハイブリッド管理通信は黒の点線で示されています。
現在オンプレミス管理コンソールを使用して OT センサーを管理している既存のお客様は、更新されたアーキテクチャ ガイダンスに移行することをお勧めします。
詳細については、「ハイブリッドまたはエアギャップ OT センサーの管理をデプロイする」を参照してください。
オンプレミスの管理コンソールの廃止
レガシのオンプレミス管理コンソール は、2025 年 1 月 1 日以降はダウンロードできなくなります。 この日付になる前に、オンプレミスおよびクラウドのすべての API を使用した新しいアーキテクチャに移行することをお勧めします。
2025 年 1 月 1 日以降にリリースされたセンサー バージョンは、オンプレミスの管理コンソールでは管理できなくなります。
2024 年 1 月 1 日から 2025 年 1 月 1 日の間にリリースされたセンサー ソフトウェアのバージョンは、引き続きオンプレミス管理コンソールのリリースをサポートします。
クラウドに接続できないエアギャップ センサーは、センサー コンソールまたは REST API を使用して直接管理できます。
詳細については、以下を参照してください:
クラウドベースのセンサーの更新のライブ状態
Azure portal からセンサーの更新プログラムを実行すると、更新プロセス中に [センサーのバージョン] 列に新しい進行状況バーが表示されます。 更新が進行すると、このバーに更新が完了した割合が表示され、プロセスが進行中か、スタックしていないか、失敗したかが示されます。 次に例を示します。
詳細については、「Defender for IoT OT モニタリング ソフトウェアの更新」を参照してください。
SecurityAlert テーブルのアラート レコードの合理化
Microsoft Sentinel と統合した場合に、Microsoft Sentinel の SecurityAlert テーブルが、アラートの状態と重大度に変更がある場合にのみすぐに更新されるようになりました。 アラートのその他の変更 (既存のアラートの最後の検出など) は、数時間にわたって集計され、行われた最新の変更のみが表示されます。
詳細については、「アラートごとの複数のレコードについて理解する」を参照してください。
2023 年 11 月
サービス領域 | 更新プログラム |
---|---|
Enterprise IoT ネットワーク | Enterprise IoT 保護が Microsoft 365 E5 および E5 Security ライセンスに含まれるようになりました |
OT ネットワーク | セキュリティ スタックの統合の最新ガイダンス |
Enterprise IoT 保護が Microsoft 365 E5 および E5 Security ライセンスに含まれるようになりました
Defender for IoT で Enterprise IoT (EIoT) セキュリティを使用すると、アンマネージド IoT デバイスが検出され、継続的な監視、脆弱性評価、Enterprise IoT デバイス向けの特別設計のカスタマイズされた推奨事項など、さらに多くの価値あるセキュリティ機能が提供されます。 これは、Microsoft Defender ポータル上で Microsoft Defender XDR、Microsoft Defender 脆弱性の管理、Microsoft Defender for Endpoint とシームレスに統合され、組織のネットワークを包括的な手法で保護できます。
Defender for IoT の EIoT 監視は、Microsoft 365 E5 (ME5) および E5 Security プランの一部として、ユーザー ライセンスあたり最大 5 台のデバイスを対象に、自動的にサポートされるようになりました。 たとえば、組織が 500 件の ME5 ライセンスを所有している場合は、Defender for IoT を使用すると最大 2,500 台の EIoT デバイスを監視できます。 この統合は、Microsoft 365 環境内での IoT エコシステムの強化に向けた大きな飛躍を表しています。
ME5 または E5 Security プランを利用しているが EIoT デバイスではまだ Defender for IoT を利用していないお客様は、Microsoft Defender ポータルでサポートをオンに切り替える必要があります。
ME5 または E5 Security プランを利用していない新しいお客様は、Microsoft Defender for Endpoint P2 のアドオンとして、スタンドアロンの Microsoft Defender for IoT - EIoT Device License - アドオン ライセンスを購入できます。 Microsoft 管理センターからスタンドアロンのライセンスを購入します。
従来の Enterprise IoT プランと ME5/E5 Security プランを利用している既存のお客様は、新しいライセンス方法に自動的に切り替わります。 Enterprise IoT 監視は、追加料金なしでライセンスにバンドルされるだけではなく、ユーザーによる実施項目も不要になりました。
従来の Enterprise IoT プランを利用中で ME5/E5 Security プランは利用していないお客様は、プランの有効期限が切れるまでは、既存のプランを引き続き利用できます。
Defender for Endpoint P2 のお客様は、スタンドアロンのライセンスとして試用版ライセンスを使用できます。 試用版ライセンスは、100 台のデバイスをサポートします。
詳細については、以下を参照してください:
- 企業での IoT デバイスのセキュリティ保護
- Defender for Endpoint で Enterprise IoT セキュリティを有効にする
- Defender for IoT サブスクリプションの課金
- Microsoft Defender for IoT のプランと価格
- ブログ: Defender for Endpoint で Enterprise IoT セキュリティが Microsoft 365 E5 および E5 Security プランに含まれるようになりました
セキュリティ スタックの統合の最新ガイダンス
Defender for IoT では、セキュリティ スタックの統合を更新して、さまざまなセキュリティ ソリューションの堅牢性、スケーラビリティ、保守の作業性を全体的に向上させています。
セキュリティ ソリューションをクラウドベースのシステムと統合する場合は、Microsoft Sentinel 経由でデータ コネクタを使用することをお勧めしています。 オンプレミスの統合の場合は、syslog イベントを転送するように OT センサーを構成するか、Defender for IoT API を使用することをお勧めします。
Aruba ClearPass、Palo Alto Panorama、Splunk のレガシ統合は、センサー バージョン 23.1.3 を使用する場合は 2024 年 10 月までサポートされますが、ソフトウェアの今後のメジャー バージョンではサポートされなくなります。
レガシ統合メソッドを使用しているお客様の場合は、新たに推奨されるメソッドに統合を移行することをお勧めします。 詳細については、以下を参照してください:
- ClearPass を Microsoft Defender for IoT と統合する
- Palo Alto と Microsoft Defender for IoT の統合
- Splunk を Microsoft Defender for IoT と統合する
- Microsoft およびパートナーのサービスと統合する
2023 年 9 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | バージョン 23.1.3: - OT センサー接続のトラブルシューティング - OT センサーの読み取り専用ユーザーのイベント タイムライン アクセス |
OT センサー接続のトラブルシューティング
バージョン 23.1.3 以降では、OT センサーを使うと、Azure portal での接続の問題を自動的にトラブルシューティングできます。 クラウド管理センサーが接続されていない場合は、Azure portal の [サイトとセンサー] ページと、センサーの [概要] ページにエラーが表示されます。
次に例を示します。
センサーから、次のいずれかの操作を行って、[クラウド接続のトラブルシューティング] ペインを開くと、接続の問題と軽減策の手順の詳細が表示されます。
- [概要] ページで、ページの上部にある [トラブルシューティング] リンクを選びます
- [システム設定] > [センサー管理] > [正常性とトラブルシューティング] > [クラウド接続のトラブルシューティング] の順に選択します
詳細については、「センサーの確認 - クラウド接続の問題」を参照してください。
OT センサーの読み取り専用ユーザーのイベント タイムライン アクセス
バージョン 23.1.3 以降では、OT センサーの "読み取り専用" ユーザーは、[イベント タイムライン] ページを表示できます。 次に例を示します。
詳細については、以下を参照してください:
2023 年 8 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | Defender for IoT の CVE が CVSS v3 に合わせて調整される |
Defender for IoT の CVE が CVSS v3 に合わせて調整される
OT センサーと Azure portal に表示される CVE スコアは、National Vulnerability Database (NVD) に合わせて調整され、Defender for IoT の 8 月の脅威インテリジェンス更新プログラム以降では、CVSS v3 スコアが関連する場合に表示されます。 関連する CVSS v3 スコアがない場合は、代わりに CVSS v2 スコアが表示されます。
Defender for IoT のデバイスの詳細の [脆弱性] タブ、Microsoft Sentinel ソリューションで利用可能なリソース、または OT センサーのデータ マイニング クエリで、Azure portal からの CVE データを表示します。 詳細については、以下を参照してください:
- OT ネットワーク センサーで脅威インテリジェンス パッケージを維持する
- デバイスの完全な詳細を表示する
- チュートリアル: Microsoft Sentinel を使用して IoT デバイスの脅威を調査して検出する
- データ マイニング クエリを作成する
2023 年 7 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | バージョン 23.1.2: - OT センサーのインストールとセットアップの機能強化 - デプロイを分析して微調整する - センサー GUI を使用して監視対象インターフェイスを構成する - 簡略化された特権ユーザー サイト ベースのライセンスに移行する |
OT センサーのインストールとセットアップの機能強化
バージョン 23.1.2 では、OT センサーのインストール ウィザードとセットアップ ウィザードを更新して、より迅速でユーザー フレンドリなものにしました。 更新プログラムには次のものが含まれています。
インストール ウィザード: 自身の物理マシンまたは仮想マシンにソフトウェアをインストールする場合、Linux インストール ウィザードは、ユーザーからの入力や詳細を必要とせずに、インストール プロセスを直接実行するようになりました。
インストール実行はデプロイ ワークステーションから確認できますが、キーボードや画面を使用せずにソフトウェアをインストールすることを選択して、インストールを自動的に実行することもできます。 完了したら、既定の IP アドレスを使用してブラウザーからセンサーにアクセスします。
インストールでは、ネットワーク設定に既定値が使用されます。 これらの設定は、前と同じように CLI で、または新しいブラウザーベースのウィザードで、後で微調整します。
すべてのセンサーは、既定の "サポート" ユーザーとパスワードでインストールされます。 最初のサインインで既定のパスワードをすぐに変更してください。
ブラウザーでの初期セットアップの構成: ソフトウェアをインストールして初期ネットワーク設定を構成した後、同じブラウザーベースのウィザードを続行してセンサーをアクティブにし、SSL/TLS 証明書設定を定義します。
詳細については、「OT センサーのインストールと設定」および「OT センサーの構成とアクティブ化」を参照してください。
デプロイを分析して微調整する
インストールと初期セットアップが完了したら、センサーがセンサー設定から既定で検出するトラフィックを分析します。 センサーで、[センサー設定]>[基本]>[デプロイ] の順に選択して、現在の検出を分析します。
ネットワーク内のセンサーの場所を変更したり、監視インターフェイスが正しく接続されていることを確認したりするなど、デプロイを微調整する必要があることに気付く場合があります。 変更を加えてから [分析] をもう一度選択して、更新された監視状態を表示します。
詳細については、「デプロイの分析」を参照してください。
センサー GUI を使用して監視対象インターフェイスを構成する
最初のセンサーのセットアップ後にトラフィックの監視に使用するインターフェイスを変更したい場合は、CLI でアクセスする Linux ウィザードの代わりに、新しい [センサー設定]>[インターフェイス構成] ページを使用して設定を更新できるようになりました。 次に例を示します。
[インターフェイス構成] ページには、初期セットアップ ウィザードの [インターフェイス構成] タブと同じオプションが表示されます。
詳細については、「センサーの監視インターフェイスの更新 (ERSPAN の構成)」を参照してください。
簡略化された特権ユーザー
バージョン 23.1.2 の新しいセンサー インストールにおいて、既定では特権 "サポート" ユーザーのみが使用できます。 cyberx ユーザーと cyberx_host ユーザーは使用できますが、既定では無効になっています。 Defender for IoT CLI アクセスなどのために、これらのユーザーを使用する必要がある場合は、ユーザー パスワードを変更します。
以前のバージョンから 23.1.2 に更新されたセンサーでは、cyberx ユーザーと cyberx_host ユーザーは以前と同様に有効なままです。
ヒント
サポート ユーザーとしてサインインしたときに cyberx または cyberx_host ユーザーのみが使用できる CLI コマンドを実行するには、まずホスト マシンのシステム ルートにアクセスしてください。 詳細については、「"管理者" ユーザーとしてシステム ルートにアクセスする」を参照してください。
サイト ベースのライセンスに移行する
既存のお客様は、サイトベースの Microsoft 365 ライセンスに基づいて、従来の Defender for IoT 購入プランを Microsoft 365 プランに移行できるようになりました。
[プランと価格] ページでプランを編集し、現在の月単位または年単位のプランではなく Microsoft 365 プランを選択します。 次に例を示します。
新しくライセンスを取得したサイトのサイズに合わせて、関連するサイトを編集してください。 次に例を示します。
詳細については、レガシ OT プランからの移行に関する記事および「Defender for IoT サブスクリプションの課金」を参照してください。
2023 年 6 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | サイトベースのライセンスによって課金される OT プラン 安全でないパスワードと重要な CVE に関する OT ネットワークのセキュリティの推奨事項 |
サイトベースのライセンスによって課金される OT プラン
2023 年 6 月 1 日以降、Microsoft Defender for IoT の OT 監視は、Microsoft 365 管理センターでのみ購入できます。
ライセンスは、それぞれのサイトのサイズに基づいて、個々のサイトで使用できます。 大規模サイト サイズをカバーする、60 日間の試用版ライセンスも利用できます。
追加ライセンスの購入はすべて、Azure portal の OT プランで自動的に更新されます。
新しいセンサーをオンボードすると、ライセンスされたサイト サイズに基づいてサイトにセンサーを割り当てるよう要求されます。
既存のお客様は、既に Azure サブスクリプションにオンボードされているレガシ OT プランを引き続き使用でき、機能の変更はありません。 ただし、Microsoft 365 管理センターからの対応するライセンスがないと、新しいサブスクリプションに新しいプランを追加することはできません。
ヒント
Defender for IoT の "サイト" とは、施設、キャンパス、オフィス ビル、病院、リグなどの物理的な場所のことです。 各サイトには、検出されたネットワーク トラフィック全体のデバイスを識別する任意の数のネットワーク センサーを含めることができます。
詳細については、次を参照してください。
- Defender for IoT サブスクリプションの課金
- Microsoft Defender for IoT の試用版を開始する
- Azure サブスクリプションで OT プランを管理する
- Defender for IoT に OT センサーをオンボードする
安全でないパスワードと重要な CVE に関する OT ネットワークのセキュリティの推奨事項
Defender for IoT では、お客様が OT/IoT ネットワークのセキュリティ体制を管理するのを支援するために、安全でないパスワードと重要な CVE に関するセキュリティの推奨事項が提供されるようになりました。
ネットワーク全体で検出されたデバイスについて、次のセキュリティの推奨事項を Azure portal で確認できます。
脆弱なデバイスをセキュリティで保護する: この推奨事項が表示されているデバイスには、重大度がクリティカルな脆弱性が 1 つ以上見つかっています。 デバイス ベンダーまたは CISA (Cybersecurity および Infrastructure Agency) によって指示されている手順に従うことをお勧めします。
認証がないデバイスに対してセキュリティで保護されたパスワードを設定する: この推奨事項が表示されているデバイスは、過去のサインインに基づいて認証がないことが検出されています。認証を有効にし、最低限の長さと複雑さを持つより強力なパスワードを設定することをお勧めします。
最低限の長さと複雑さを持つより強力なパスワードを設定する: この推奨事項が表示されているデバイスは、過去のサインインに基づいて脆弱なパスワードが設定されていることが検出されています。デバイスのパスワードを、最低限の長さと複雑さを持つより強力なパスワードに変更することをお勧めします。
詳細については、「サポートされているセキュリティの推奨事項」を参照してください。
2023 年 5 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | センサーのバージョン 22.3.9: - OT センサー ログの監視とサポートの強化 センサー バージョン 22.3.x 以降: - Azure portal で Active Directory と NTP の設定を構成する |
強化された OT センサー ログ の監視とサポート
バージョン 22.3.9 では、新しいエンドポイントを介して OT センサーからログを収集する新しい機能が追加されました。 この追加データは、私たちがお客様の問題のトラブルシューティングを行うのに役立ち、応答時間を短縮し、よりターゲットを絞ったソリューションと推奨事項を提供できるようにします。 この新しいエンドポイントは、OT センサーを Azure に接続するために必要なエンドポイントの一覧に追加されました。
OT センサーを更新したら、最新のエンドポイントの一覧をダウンロードし、センサーが一覧表示されているすべてのエンドポイントにアクセスできることを確認してください。
詳細については、次を参照してください。
Azure portal で Active Directory と NTP の設定を構成する
これで、Azure portal の [サイトとセンサー] ページからリモートで、OT センサーの Active Directory と NTP の設定を構成できます。 これらの設定は、OT センサー バージョン 22.3.x 以降で使用できます。
詳細については、「センサー設定リファレンス」を参照してください。
2023 年 4 月
サービス領域 | 更新プログラム |
---|---|
ドキュメント | エンド ツー エンドのデプロイ ガイド |
OT ネットワーク | センサーのバージョン 22.3.8: - クライアント SSL/TLS 証明書のプロキシ サポート - ローカル スクリプトを使用して Windows ワークステーションとサーバー データをエンリッチする (パブリック プレビュー) - OS 通知の自動解決 - SSL/TLS 証明書をアップロードするときの UI の機能強化 |
エンド ツー エンドのデプロイ ガイド
Defender for IoT のドキュメントに新しい「デプロイ」セクションが含まれるようになり、次のシナリオのデプロイ ガイドの完全なセットが提供されます。
たとえば、OT 監視に推奨されるデプロイには、次の手順が含まれています。これらはすべて新しい記事で詳しく説明されています。
各セクションの詳細な手順は、お客様の成功のための最適化と、ゼロ トラストのデプロイを支援することを目的としています。 各ページのナビゲーション要素 (上部のフロー チャートおよび下部の [次のステップ] リンクなど) は、自分がプロセスのどこにいるか、何を完了したか、次に行うべきステップは何かを示しています。 次に例を示します。
詳細については、「OT 監視用の Defender for IoT をデプロイする」を参照してください。
クライアント SSL/TLS 証明書のプロキシ サポート
Zscaler や Palo Alto Prisma のようなサービスを使用する場合など、SSL/TLS トラフィックを検査するプロキシ サーバーには、クライアント SSL/TLS 証明書が必要です。 バージョン 22.3.8 以降では、OT センサー コンソールを使用してクライアント証明書をアップロードできます。
詳細については、プロキシの構成に関する記事を参照してください。
ローカル スクリプトを使用して Windows ワークステーションとサーバー データをエンリッチする (パブリック プレビュー)
OT センサー UI から利用可能なローカル スクリプトを使用して、OT センサー上の Microsoft Windows ワークステーションとサーバーのデータをエンリッチします。 このスクリプトは、デバイスを検出してデータをエンリッチするユーティリティとして実行され、手動または標準の自動化ツールを使用して実行できます。
詳細については、「ローカル スクリプトを使用して Windows ワークステーションとサーバー データをエンリッチする」を参照してください。
OS 通知の自動解決
OT センサーをバージョン 22.3.8 に更新すると、オペレーティング システムの変更に関する新しいデバイス通知は生成されません。 オペレーティング システムの変更に関する既存の通知は、14 日以内に無視されないか、それ以外の方法で処理されない場合、自動的に解決されます。
詳細については、「デバイス通知の応答」を参照してください。
SSL/TLS 証明書をアップロードするときの UI の機能強化
OT センサー バージョン 22.3.8 には、SSL/TLS 証明書の設定を定義し、CA 署名証明書をデプロイするための拡張 SSL/TLS 証明書構成ページがあります。
詳細については、SSL/TLS 証明書の管理に関するページを参照してください。
2023 年 3 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | センサーのバージョン 22.3.6/22.3.7: - 一時的なデバイスのサポート - 許可リストを構成して DNS トラフィックを学習する - デバイス データ保持の更新 - SSL/TLS 証明書をアップロードするときの UI の機能強化 - アクティブ化ファイルの有効期限の更新 - デバイス インベントリを管理するための UI の機能強化 - すべての悪意のあるアクティビティの疑いアラートの重大度の更新 - デバイス通知の自動解決 バージョン 22.3.7 には、22.3.6 と同じ機能が含まれています。 バージョン 22.3.6 がインストールされている場合は、重要なバグ修正も含まれるバージョン 22.3.7 に更新することを強くお勧めします。 クラウド機能: - Defender for IoT の新しい Microsoft Sentinel インシデント エクスペリエンス |
一時的なデバイスのサポート
Defender for IoT では、短時間だけ検出されたデバイスを表す一意のデバイスの種類として "一時的" なデバイスが識別されるようになりました。 これらのデバイスを慎重に調査して、ネットワークへの影響を理解することをお勧めします。
詳細については、「Defender for IoT デバイス インベントリ」および「Azure portal からデバイス インベントリを管理する」を参照してください。
許可リストを構成して DNS トラフィックを学習する
"サポート" ユーザーは、OT センサーにドメイン名の許可リストを作成して、未認可のインターネット アラートの数を減らせるようになりました。
DNS 許可リストを構成すると、センサーが、未承認のインターネット接続試行をリストと照合して確認してからアラートをトリガーします。 ドメインの FQDN が許可リストに含まれている場合、センサーはアラートをトリガーせず、トラフィックを自動的に許可します。
すべての OT センサー ユーザーは、許可された DNS ドメインとその解決された IP アドレスの一覧をデータ マイニング レポートで表示できます。
次に例を示します。
詳細については、OT ネットワークでインターネット接続を許可に関するページおよび「データ マイニング クエリを作成する」を参照してください。
デバイス データ保持の更新
OT センサーとオンプレミス管理コンソールのデバイス データ保持期間が、最終アクティビティ値の日付から 90 日に更新されました。
詳細については、デバイス データの保持期間に関するページを参照してください。
SSL/TLS 証明書をアップロードするときの UI の機能強化
OT センサー バージョン 22.3.6 には、SSL/TLS 証明書の設定を定義し、CA 署名付き証明書をデプロイするための拡張 SSL/TLS 証明書構成ページがあります。
詳細については、SSL/TLS 証明書の管理に関するページを参照してください。
アクティブ化ファイルの有効期限の更新
クラウドに接続された OT センサー上のアクティブ化ファイルと同様に、Defender for IoT プランが Azure サブスクリプションでアクティブである限り、ローカルで管理されている OT センサー上のアクティブ化ファイルはアクティブ化されたままになります。
アクティブ化ファイルを更新する必要があるのは、OT センサーを最新バージョンから更新する場合、またはセンサー管理モードを切り替える場合 (ローカル管理からクラウド接続への移行など) のみです。
詳細については、「個々のセンサーの管理」を参照してください。
デバイス インベントリを管理するための UI の機能強化
バージョン 22.3.6 では、OT センサーのデバイス インベントリに次の機能強化が追加されました。
- OT センサーでデバイスの詳細を編集するためのよりスムーズなプロセス。 OT センサー コンソールのデバイス インベントリ ページから、ページ上部のツール バーの新しい [編集] ボタンを使用して、デバイスの詳細を直接編集します。
- OT センサーでは、複数のデバイスの同時削除がサポートされるようになりました。
- デバイスのマージと削除の手順に、アクションが完了したときに表示される確認メッセージが含まれるようになりました。
詳細については、「センサー コンソールから OT デバイス インベントリを管理する」を参照してください。
すべての悪意のあるアクティビティの疑いアラートの重大度の更新
悪意のあるアクティビティの疑いカテゴリのすべてのアラートの重大度がクリティカルになりました。
詳細については、「マルウェア対策エンジンのアラート」を参照してください。
デバイス通知の自動解決
バージョン 22.3.6 以降では、OT センサーの [デバイス マップ] ページで選択した通知が、14 日以内に無視または処理されない場合に自動的に解決されるようになりました。
センサーのバージョンを更新すると、非アクティブなデバイスと新しい OT デバイスの通知は表示されなくなります。 更新前から残っている非アクティブなデバイスのすべての通知は自動的に無視されますが、処理すべきレガシの新しい OT デバイスの通知は残っている可能性があります。 これらの通知を必要に応じて処理して、センサーから削除します。
詳細については、デバイス通知の操作に関するページを参照してください。
Defender for IoT の新しい Microsoft Sentinel インシデント エクスペリエンス
Microsoft Sentinel の新しいインシデント エクスペリエンスには、Defender for IoT のお客様を対象とした特定の機能が含まれています。 OT/IoT 関連を調査している SOC アナリストは、インシデントの詳細ページで次の機能強化を使用できるようになりました。
関連するサイト、ゾーン、センサー、デバイスの重要性を表示して、インシデントのビジネスへの影響と物理的な場所について理解を深める。
関連するデバイスのエンティティ詳細ページで個別に調査するのではなく、影響を受けるデバイスと関連するデバイスの詳細が集約されたタイムラインを確認する
インシデントの詳細ページで OT アラートの修復手順を直接確認する
詳細については、「チュートリアル: IoT デバイスの脅威を調査して検出する」および「Microsoft Sentinel でのインシデントの確認と調査」を参照してください。
2023 年 2 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | クラウド機能: - Microsoft Sentinel: Microsoft Defender for IoT ソリューション バージョン 2.0.2 - [サイトとセンサー] ページから更新プログラムをダウンロードする (パブリック プレビュー) - Azure portal の [アラート] ページの一般提供 - Azure portal のデバイス インベントリ GA - デバイス インベントリのグループ化の機能強化 (パブリック プレビュー) - Azure デバイス インベントリ内のフォーカスされたインベントリ (パブリック プレビュー) センサー バージョン 22.2.3: Azure portal から OT センサー設定を構成する (パブリック プレビュー) |
Enterprise IoT ネットワーク | クラウド機能: Azure portal の [アラート] ページの一般提供 |
Microsoft Sentinel: Microsoft Defender for IoT ソリューション バージョン 2.0.2
Microsoft Defender for IoT ソリューションのバージョン 2.0.2 が Microsoft Sentinel コンテンツ ハブで使用できるようになりました。これにより、インシデント作成のための分析ルールが改善され、インシデントの詳細ページが強化され、分析ルール クエリのパフォーマンスが向上しました。
詳細については、次を参照してください。
[サイトとセンサー] ページから更新プログラムをダウンロードする (パブリック プレビュー)
OT センサーまたはオンプレミス管理コンソールでローカル ソフトウェア更新プログラムを実行している場合、[サイトとセンサー] ページに、[センサーの更新 (プレビュー)] メニューからアクセスできる、更新プログラム パッケージをダウンロードするための新しいウィザードが表示されるようになりました。
次に例を示します。
脅威インテリジェンスの更新プログラムは現在、[サイトとセンサー] ページ >[脅威インテリジェンスの更新 (プレビュー)] オプションからのみ使用できます。
オンプレミス管理コンソールの更新プログラム パッケージは、[はじめに]>[オンプレミス管理コンソール] タブからも入手できます。
詳細については、次を参照してください。
Azure portal のデバイス インベントリ GA
Azure portal の [デバイス インベントリ] ページが一般公開 (GA) になりました。これにより、検出されたすべてのデバイスの一元化されたビューが大規模に提供されます。
Defender for IoT のデバイス インベントリは、製造元、種類、シリアル番号、ファームウェアなど、特定のデバイスに関する詳細を特定するのに役立ちます。 デバイスに関する詳細を収集すると、チームは最も重要な資産を侵害する可能性のある脆弱性を事前に調査するのに役立ちます。
すべてのマネージド デバイスとアンマネージド デバイスを含む最新のインベントリを作成して、すべての IoT/OT デバイスを管理します
リスクベースのアプローチでデバイスを保護 し、不足しているパッチ、脆弱性などのリスクを特定し、リスク スコアリングと自動化された脅威モデリングに基づいて修正プログラムの優先順位を付けます
無関係なデバイスを削除し、組織固有の情報を追加して組織の優先設定を強調するようにインベントリを更新します
デバイス インベントリ GA には、次の UI の機能強化が含まれています。
拡張機能 | 説明 |
---|---|
グリッド レベルの機能強化 | - デバイス インベントリ全体をエクスポートしてオフラインで確認し、チームとの間でメモを比較します - 存在しなくなったり機能しなくなったりした無関係なデバイスを削除します - センサーが 1 つの一意のデバイスに関連付けられている個別のネットワーク エンティティを検出した場合、デバイスをマージしてデバイス一覧を微調整します。 たとえば、4 つのネットワーク カードを備えた PLC、WiFi と物理ネットワーク カードの両方を備えたラップトップ、または複数のネットワーク カードを備えた 1 台のワークステーションなどがあります。 - テーブル ビューを編集して、表示したいデータのみを反映します |
デバイス レベルの機能強化 | - 相対的な重要度、説明タグ、ビジネス機能情報など、組織固有のコンテキストの詳細に注釈を付けることで、デバイスの詳細を編集します |
フィルターと検索の機能強化 | - あらゆるデバイス インベントリ フィールドで詳細な検索を実行 して、最も重要なデバイスをすばやく見つけます - 任意のフィールドでデバイス インベントリをフィルター処理します。 たとえば、"種類" でフィルター処理して "産業用" デバイスを識別したり、時間フィールドを使用してアクティブなデバイスと非アクティブなデバイスを特定したりできます。 |
セキュリティ、ガバナンス、管理上の豊富なコントロールを使用して管理者を割り当て、所有者に代わってデバイスをマージ、削除、編集できるユーザーを制限することもできます。
デバイス インベントリのグループ化の機能強化 (パブリック プレビュー)
Azure portal の [デバイス インベントリ] ページでは、新しいグループ化カテゴリがサポートされています。 これで、"クラス"、"データ ソース"、"場所"、"Purdue レベル"、"サイト"、"種類"、"ベンダー"、"ゾーン" ごとにデバイス インベントリをグループ化できます。 詳細については、デバイスの完全な詳細の表示に関する記事を参照してください。
Azure デバイス インベントリ内のフォーカスされたインベントリ (パブリック プレビュー)
Azure portal の [デバイス インベントリ] ページに、デバイスのネットワークの場所が表示されるようになり、IoT/OT スコープ内のデバイスにデバイス インベントリをフォーカスできるようになりました。
構成されたサブネットに従って、"ローカル" または "ルーティング済み"として定義されているデバイスを表示してフィルター処理できます。 [ネットワークの場所] フィルターは既定でオンになっています。 デバイス インベントリの列を編集して、[ネットワークの場所] 列を追加します。 Azure portal または OT センサーのいずれかでサブネットを構成します。 詳細については、次を参照してください。
Azure portal から OT センサー設定を構成する (パブリック プレビュー)
センサー バージョン 22.2.3 以降では、Azure portal の [サイトとセンサー] ページからアクセスできる新しい [センサー設定 (プレビュー)] ページを使用して、クラウドに接続されたセンサーの選択した設定を構成できるようになりました。 次に例を示します。
詳細については、「Azure portal からの OT センサー設定の定義と表示 (パブリック プレビュー)」を参照してください。
Azure portal でのアラートの一般提供
Azure portal の [アラート] ページが一般提供されるようになりました。 Microsoft Defender for IoT のアラートにより、ネットワークで検出されたイベントに関するリアルタイムの詳細情報を使用して、ネットワークのセキュリティと運用が強化されます。 注意が必要なネットワーク トラフィック内の変化や疑わしいアクティビティが OT、Enterprise IoT ネットワーク センサー、または Defender for IoT マイクロ エージェントによって検出されると、アラートがトリガーされます。
Enterprise IoT センサーによってトリガーされる特定のアラートは、現在パブリック プレビューのままです。
詳細については、次を参照してください。
2023 年 1 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | センサー バージョン 22.3.4: OT センサーで示される Azure 接続状態 センサー バージョン 22.2.3: Azure portal からセンサー ソフトウェアを更新する |
Azure portal からセンサー ソフトウェアを更新する (パブリック プレビュー)
クラウドに接続されたセンサーのバージョン 22.2.3 以降では、Azure portal の新しい [Sites and sensors] (サイトとセンサー) ページからセンサー ソフトウェアを直接更新できるようになりました。
詳しくは、Azure portal からのセンサーの更新に関する記事をご覧ください。
OT センサーに表示される Azure 接続状態
OT ネットワーク センサーの [概要] ページに Azure 接続状態の詳細が表示され、センサーの Azure への接続が失われた場合にエラーが表示されるようになりました。
次に例を示します。
詳細については、「々のセンサーの管理」および「Defender for IoT に OT センサーをオンボードする」を参照してください。
2022 年 12 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | OT プランでの新しい購入エクスペリエンス |
Enterprise IoT ネットワーク | Enterprise IoT センサーのアラートと推奨事項 (パブリック プレビュー) |
Enterprise IoT センサーのアラートと推奨事項 (パブリック プレビュー)
Azure portal では、Enterprise IoT ネットワーク センサーによって検出されるトラフィックに対して、次に示す追加のセキュリティ データが提供されるようになりました。
データ型 | 説明 |
---|---|
警告 | Enterprise IoT ネットワーク センサーによって、次のアラートがトリガーされるようになりました。 - 既知の悪意のある IP に対する接続試行 - 悪意のあるドメイン名の要求 |
Recommendations (推奨事項) | Enterprise IoT ネットワーク センサーによって、検出されたデバイスに関する次の推奨事項が関連性があるものとしてトリガーされるようになりました。 セキュリティで保護されていない管理プロトコルを無効にする |
詳細については、次を参照してください。
- マルウェア対策エンジンのアラート
- Azure portal からのアラートの表示と管理
- セキュリティに関する推奨事項を使用してセキュリティ体制を強化する
- Enterprise IoT ネットワーク センサーを使用して Enterprise IoT デバイスを検出する (パブリック プレビュー)
OT プランでの新しい購入エクスペリエンス
Azure portal の [プランと価格] ページには、OT ネットワーク用の Defender for IoT プランでの新しい機能強化された購入エクスペリエンスが含まれるようになりました。 Azure portal で OT プランを編集してください。たとえば、プランを試用版から月単位または年単位のコミットメントに変更したり、デバイスまたはサイトの数を更新したりします。
詳細については、「Azure サブスクリプションで OT プランを管理する」を参照してください。
2022 年 11 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | - センサー バージョン 22.x 以降: Azure portal でのサイト ベースのアクセス制御 (パブリック プレビュー) - すべての OT センサー バージョン: 新しい OT 監視ソフトウェアのリリース ノート |
Azure portal でのサイト ベースのアクセス制御 (パブリック プレビュー)
センサー ソフトウェアのバージョン 22.x では、顧客が Azure portal での Defender for IoT 機能へのユーザー アクセスを "サイト" レベルで制御できる "サイト ベースのアクセス制御" が Defender for IoT でサポートされるようになりました。
たとえば、[アラート]、[デバイス インベントリ]、または [ブック] ページなどの Azure リソースへのユーザー アクセスを決定するには、セキュリティ閲覧者、セキュリティ管理者、共同作成者、または所有者ロールを適用します。
サイト ベースのアクセス制御を管理するには、[サイトとセンサー] ページでサイトを選択してから、[サイト アクセス制御の管理 (プレビュー)] リンクを選択します。 次に例を示します。
詳細については、Azure portal での OT 監視ユーザーの管理に関するページおよび OT および Enterprise IoT 監視のための Azure ユーザー ロールに関するページを参照してください。
注意
"サイト" は、したがってサイト ベースのアクセス制御も、OT ネットワーク監視にのみ関連します。
新しい OT 監視ソフトウェアのリリース ノート
Defender for IoT のドキュメントには、OT 監視ソフトウェア専用の新しいリリース ノート ページが追加され、バージョン サポート モデルと更新に関する推奨事項の詳細が記載されました。
この記事は継続的に更新されており、メインの新機能ページで、OT と Enterprise IoT の両方のネットワークの新機能や機能強化が紹介されています。 一覧表示されている新規項目には、オンプレミスとクラウドの両方の機能が含まれ、月別に一覧表示されています。
これに対し、新しい OT 監視ソフトウェアのリリース ノートには、オンプレミス ソフトウェアの更新を必要とする、OT ネットワーク監視更新プログラムのみが一覧表示されています。 項目はメジャー バージョンとパッチ バージョン別に一覧表示され、バージョン、日付、スコープが表にまとめられています。
詳細については、OT 監視ソフトウェアのリリース ノートを参照してください。
2022 年 10 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | 拡張 OT 監視アラート リファレンス |
拡張 OT 監視アラート リファレンス
アラートのリファレンス記事に、各アラートについて次の詳細が含まれるようになりました。
アラート カテゴリ。特定のアクティビティによって集計されたアラートを調査したり、特定のアクティビティに基づいてインシデントを生成するように SIEM ルールを構成したりする場合に役立ちます
関連するアラートのアラートしきい値。 しきい値は、アラートがトリガーされる特定のポイントを示します。 cyberx ユーザーは、必要に応じて、センサーの [サポート] ページでアラートのしきい値を変更できます。
詳細については、「OT 監視アラートの種類と説明」および「サポートされているアラート カテゴリ」を参照してください。
2022 年 9 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | サポートされているすべての OT センサー ソフトウェア バージョン: - Azure portal のデバイスの脆弱性 - OT ネットワークのセキュリティに関する推奨事項 すべての OT センサー ソフトウェア バージョン 22.x: Azure クラウド接続ファイアウォール規則の更新 センサー ソフトウェアのバージョン 22.2.7: - バグ修正と安定性の改善 センサー ソフトウェアのバージョン 22.2.6: - バグ修正と安定性の改善 - デバイスの種類分類アルゴリズムの機能強化 Microsoft Sentinel の統合: - IoT デバイス エンティティを使用した調査の機能強化 - Microsoft Defender for IoT ソリューションの更新 |
OT ネットワークのセキュリティに関する推奨事項 (パブリック プレビュー)
Defender for IoT では、お客様が OT/IoT ネットワークのセキュリティ体制を管理するのに役立つセキュリティに関する推奨事項が提供されるようになりました。 Defender for IoT の推奨事項は、ユーザーが OT/IoT ネットワークの固有の課題に対処する、実用的で優先順位の高い軽減計画を作成するのに役立ちます。 推奨事項を使用して、ネットワークのリスクと攻撃対象領域を減らします。
ネットワーク全体で検出されたデバイスについて、次のセキュリティに関する推奨事項を Azure portal で確認できます。
PLC 動作モードの確認。 この推奨事項があるデバイスは、セキュリティで保護されていない動作モードの状態に PLC が設定されていると検出されます。 この PLC にアクセスする必要がなくなった場合は、PLC の動作モードをセキュリティで保護された実行状態に設定し、悪意のある PLC プログラミングの脅威を減らすことをお勧めします。
承認されていないデバイスの確認。 この推奨事項があるデバイスは、ネットワーク ベースラインの一部として識別され、承認されている必要があります。 指定されたデバイスを特定するためのアクションを実行することをお勧めします。 調査後も不明なデバイスをネットワークから切断して、悪意のあるデバイスや潜在的に悪意のあるデバイスの脅威を軽減します。
次のいずれかの場所からセキュリティに関する推奨事項にアクセスします。
[推奨事項] ページには、検出されたすべての OT デバイスの現在のすべての推奨事項が表示されます。
[デバイスの詳細] ページの [推奨事項] タブには、選択したデバイスに関する現在のすべての推奨事項が表示されます。
いずれかの場所から推奨事項を選択し、さらにドリルダウンし、選択した推奨事項に従って、現在 "正常" または "異常" な状態にあるすべての OT デバイスの一覧を表示します。 [異常なデバイス] タブまたは [正常なデバイス] タブで、デバイスのリンクを選択して、選択したデバイスの詳細ページに移動します。 次に例を示します。
詳細については、「デバイス インベントリを表示する」および「セキュリティに関する推奨事項を使用してセキュリティ体制を強化する」を参照してください。
Azure portal のデバイスの脆弱性 (パブリック プレビュー)
Defender for IoT では、検出された OT ネットワーク デバイスの脆弱性データを Azure portal で提供するようになりました。 脆弱性データは、米国政府の国立脆弱性データベース (NVD) に記載されている標準ベースの脆弱性データのリポジトリに基づいています。
次の場所から、Azure portal の脆弱性データにアクセスします。
デバイスの詳細ページで [脆弱性] タブを選び、選択したデバイスの現在の脆弱性を表示します。 たとえば、[デバイス インベントリ] ページで特定のデバイスを選択し、その後 [脆弱性] を選択します。
詳細については、「デバイス インベントリを表示する」を参照してください。
新しい脆弱性ブックには、監視対象のすべての OT デバイスの脆弱性データが表示されます。 脆弱性ブックを使用して、CVE などのデータを重大度またはベンダー別に表示し、検出された脆弱性と脆弱なデバイスとコンポーネントの完全な一覧を表示します。
[デバイスの脆弱性]、[脆弱なデバイス]、または [脆弱なコンポーネント] テーブルの項目を選択して、右側のテーブルに関連情報を表示します。
次に例を示します。
詳しくは、「Microsoft Defender for IoT で Azure Monitor ブックを使用する」を参照してください。
Azure クラウド接続ファイアウォール規則の更新 (パブリック プレビュー)
OT ネットワーク センサーは Azure に接続して、アラート、デバイス データ、センサーの正常性メッセージを提供し、脅威インテリジェンス パッケージにアクセスするなどします。 接続されている Azure サービスには、IoT Hub、Blob Storage、Event Hubs、Microsoft ダウンロード センターが含まれます。
ソフトウェア バージョン 22.x 以上の OT センサーの場合、Defender for IoT では、Azure への接続に対する送信許可規則を追加する際のセキュリティの強化がサポートされるようになりました。 これで、ワイルドカードを使用せずに Azure に接続するための送信許可ルールを定義できます。
Azure に接続するための送信 "許可" ルールを定義するときは、ポート 443 で必要な各エンドポイントへの HTTPS トラフィックを有効にする必要があります。 送信 "許可" ルールは、同じサブスクリプションにオンボードされているすべての OT センサーに対して 1 回定義されます。
サポートされているセンサー バージョンの場合は、Azure portal 内の次の場所から、必要なセキュリティで保護されたエンドポイントの完全な一覧をダウンロードします。
[センサーが正常に登録されました] ページ: バージョン 22.x で新しい OT センサーをオンボードすると、[正常に登録されました] ページに、ネットワーク上でセキュリティで保護された送信許可ルールとして追加する必要があるエンドポイントへのリンクなど、次のステップに進むための手順が示されるようになりました。 [エンドポイントの詳細のダウンロード] リンクを選択して、JSON ファイルをダウンロードします。
次に例を示します。
[サイトとセンサー] ページ: ソフトウェア バージョン 22.x 以上の OT センサー、またはサポートされているセンサー バージョンが 1 つ以上のサイトを選択します。 次に、[その他のアクション]>[エンドポイントの詳細のダウンロード] を選択して JSON ファイルをダウンロードします。 次に例を示します。
詳細については、次を参照してください。
- チュートリアル: OT セキュリティのために Microsoft Defender for IoT の使用を開始する
- Azure portal で Defender for IoT を使用してセンサーを管理する
- ネットワーク要件
Microsoft Sentinel での IoT デバイス エンティティによる調査の機能強化
Defender for IoT と Microsoft Sentinel の統合で、IoT デバイス エンティティ ページがサポートされるようになりました。 Microsoft Sentinel でインシデントを調査し、IoT セキュリティを監視するときに、最も機密性の高いデバイスを特定し、各デバイス エンティティ ページの詳細情報に直接移動できるようになりました。
IoT デバイス エンティティ ページには、IoT デバイスに関するコンテキスト デバイス情報と、基本的なデバイスの詳細とデバイス所有者の連絡先情報が表示されます。 デバイスの所有者は、Defender for IoT の [サイトとセンサー] ページのサイトに基づき定義されます。
IoT デバイス エンティティ ページは、各アラートのサイト、ゾーン、センサーに従い、デバイスの重要度とビジネスへの影響に基づいて修復の優先順位を付けるのに役立ちます。 次に例を示します。
Microsoft Sentinel の [エンティティの動作] ページで、脆弱なデバイスを検索することもできます。 たとえば、アラートの数が最も多い上位 5 台の IoT デバイスを表示したり、IP アドレスまたはデバイス名でデバイスを検索したりします。
詳細については、IoT デバイス エンティティのさらなる調査と Azure portal のサイト管理オプションに関するページを参照してください。
Microsoft Sentinel のコンテンツ ハブの Microsoft Defender for IoT の更新
今月、Microsoft Sentinel のコンテンツ ハブで Microsoft Defender for IoT ソリューションのバージョン 2.0 をリリースしました。これは、以前 Defender for IoT を使用した IoT/OT 脅威の監視ソリューションと呼ばれていました。
このバージョンのソリューションの更新には、次のものが含まれます。
名前の変更。 過去に Microsoft Sentinel ワークスペースに Defender for IoT を使用した IoT/OT 脅威監視ソリューションをインストールしている場合、ソリューションを更新しない場合でも、ソリューションの名前は自動的に Microsoft Defender for IoT に変更されます。
ブックの機能強化: Defender for IoT ブックには次のものが含まれるようになりました。
デバイス インベントリ、脅威検出、セキュリティ体制に関する主要なメトリックを含む新しい [概要] ダッシュボード。 次に例を示します。
ネットワークに表示される CVE とその関連する脆弱なデバイスに関する詳細を含む新しい [脆弱性] ダッシュボード。 次に例を示します。
デバイスの推奨事項へのアクセス、脆弱性、Defender for IoT デバイスの詳細ページへの直接リンクなど、[デバイス インベントリ] ダッシュボードの機能強化。 Defender for IoT を使用した IoT/OT 脅威の監視ブックの [デバイス インベントリ] ダッシュボードは、Defender for IoT のデバイス インベントリ データと完全に一致しています。
プレイブックの更新: Microsoft Defender for IoT では、新しいプレイブックで次の SOC オートメーション機能がサポートされるようになりました。
CVE の詳細を含む自動化: AD4IoT-CVEAutoWorkflow プレイブックを使用して、Defender for IoT データに基づいて関連デバイスの CVE でインシデント コメントを強化します。 インシデントはトリアージされ、CVE が重要な場合は、アセット所有者に電子メールでインシデントに関する通知が送信されます。
デバイス所有者への電子メール通知の自動化。 AD4IoT-SendEmailtoIoTOwner プレイブックを使用して、新しいインシデントに関する通知メールをデバイスの所有者に自動的に送信します。 その後、デバイス所有者はメールに返信して、必要に応じてインシデントを更新できます。 デバイス所有者は、Defender for IoT のサイト レベルで定義されます。
機密性の高いデバイスがかかわるインシデントの自動化: AD4IoT-AutoTriageIncident プレイブックを使用して、インシデントに関係するデバイスと、組織に対する機密レベルまたは重要度に基づいてインシデントの重大度を自動的に更新します。 たとえば、機密性の高いデバイスに関連するすべてのインシデントは、自動的に重要度が高いレベルにエスカレートできます。
詳細については、Microsoft Sentinel を使用した Microsoft Defender for IoT インシデントの調査に関するページを参照してください。
2022 年 8 月
サービス領域 | 更新プログラム |
---|---|
OT ネットワーク | センサー ソフトウェア バージョン 22.2.5: 安定性が向上したマイナー バージョン センサー ソフトウェア バージョン 22.2.4: タイムスタンプ データを含む新しいアラート列 センサー ソフトウェア バージョン 22.1.3: Azure portal でセンサーの正常性を確認 (パブリック プレビュー) |
タイムスタンプ データを含む新しいアラート列
OT センサー バージョン 22.2.4 以降では、Azure portal の Defender for IoT アラートとセンサー コンソールに次の列とデータが表示されるようになりました。
最後の検出。 ネットワークでアラートが最後に検出された時刻を定義し、[検出時間] 列を置き換えます。
最初の検出。 ネットワークでアラートが初めて検出された時刻を定義します。
最後のアクティビティ。 アラートが最後に変更された時刻を定義します。重大度または状態の手動更新、デバイスの更新またはデバイス/アラートの重複除去の自動変更などが含まれます。
[最初の検出] 列と [最後のアクティビティ] 列は、既定では表示されません。 これらは必要に応じて [アラート] ページに追加してください。
ヒント
Microsoft Sentinel も使用している場合は、Log Analytics クエリの同様のデータに慣れているでしょう。 Defender for IoT の新しいアラート列は、次のようにマップされます。
- Defender for IoT の最後の検出の時間は、Log Analytics の EndTime と似ています
- Defender for IoT の最初の検出の時間は、Log Analytics の StartTime と似ています
- Defender for IoT の最後のアクティビティの時間は、Log Analytics の TimeGenerated に似ています。詳細については、以下を参照してください。
Azure portal でセンサーの正常性を確認 (パブリック プレビュー)
OT センサー バージョン 22.1.3 以降では、新しいセンサー正常性ウィジェットとテーブル列データを使用して、Azure portal の [サイトとセンサー] ページからセンサーの正常性を直接監視できます。
また、Azure portal から特定のセンサーにドリルダウンできる、センサーの詳細ページも追加されました。 [サイトとセンサー] ページで、特定のセンサー名を選択します。 センサーの詳細ページには、センサーの基本データ、センサーの正常性、適用されているセンサー設定が一覧表示されます。
詳細については、「センサーの正常性について」および「センサー正常性メッセージのリファレンス」を参照してください。
2021 年 7 月
サービス領域 | 更新プログラム |
---|---|
Enterprise IoT ネットワーク | - GA での Enterprise IoT と Defender for Endpoint の統合 |
OT ネットワーク | センサー ソフトウェアのバージョン 22.2.4: - デバイス インベントリの機能強化 - ServiceNow 統合 API の機能強化 センサー ソフトウェアのバージョン 22.2.3: - OT アプライアンスのハードウェア プロファイルの更新 - Azure portalからの PCAP アクセス - センサーとAzure portal間の双方向アラート同期 - 証明書のローテーション後に復元されたセンサー接続 - 診断ログの機能強化をサポート - ブラウザー のタブに表示されるセンサー名 センサー ソフトウェアのバージョン 22.1.7: - cyberx_host ユーザーと cyberx ユーザーに対して同じパスワード |
クラウド専用フィーチャー | - Defender for IoT アラートとの Microsoft Sentinel インシデント同期 |
GA での Enterprise IoT と Defender for Endpoint の統合
Enterprise IoT と Microsoft Defender for Endpoint の統合が一般提供 (GA) になりました。 この更新プログラムでは、次の更新プログラムと機能強化が行われました。
Defender for Endpoint で Enterprise IoT プランを直接オンボードします。 詳細については、 「サブスクリプションの管理」 と 「Defender for Endpoint のドキュメント」を参照してください。
検出されたエンタープライズ IoT デバイスと、関連するアラート、脆弱性、レコメンデーションを Microsoft 365 セキュリティ ポータルで表示するための Microsoft Defender for Endpoint とのシームレスな統合。 詳細については、 「Enterprise IoT チュートリアル」 と「Defender for Endpoint のドキュメント」を参照してください。 検出された Enterprise IoT デバイスは引き続き、Azure portal の Defender for IoT デバイス インベントリのページで表示できます。
すべての Enterprise IoT センサーが、 Enterprise ネットワークという名前の Defender for IoT の同じサイトに自動的に追加されるようになりました。 新しい Enterprise IoT デバイスをオンボードする場合は、サイトまたはゾーンを定義せずに、センサー名を定義し、サブスクリプションを選択するだけで済みます。
注意
Enterprise IoT ネットワーク センサーとすべての検出はパブリック プレビューのままです。
cyberx_host ユーザーおよび cyberx ユーザーと同じパスワード
OT モニタリングソフトウェアのインストールと更新中に、 cyberx ユーザーにはランダムなパスワードが割り当てられます。 バージョン 10.x.x からバージョン 22.1.7 に更新すると、cyberx_host パスワードが、同じパスワードで、cyberx ユーザーに割り当てられます。
詳細については、「OT エージェントレス監視ソフトウェアのインストール」と「Defender for IoT OT 監視ソフトウェアの更新」を参照してください。
デバイス インベントリの機能強化
OT センサー バージョン 22.2.4 以降では、センサー コンソールの [デバイス インベントリ] ページから次のアクションを実行できるようになりました。
重複するデバイスをマージします。 1 台の一意のデバイスに関連付けられている個別のネットワーク エンティティがセンサーによって検出された場合は、デバイスのマージが必要となることがあります。 このシナリオの例としては、4 つのネットワーク カードを備えた PLC、WiFi と物理ネットワーク カードの両方を備えたラップトップ PC、または複数のネットワーク カードを備えた 1 台のワークステーションなどがあります。
1 つのデバイスを削除します。 これで、少なくとも 10 分間通信していない 1 つのデバイスを削除できます。
管理者ユーザーにより非アクティブなデバイスを削除します。 これで、 cyberx ユーザーに加えて、すべての管理者ユーザーが非アクティブなデバイスを削除できるようになりました。
また、バージョン 22.2.4 以降では、センサー コンソールの [デバイス インベントリ] ページで、デバイスの詳細ウィンドウの [最後に表示された値] が [最後のアクティビティ] に置き換えられます。 次に例を示します。
詳細については、「センサー コンソールから OT デバイス インベントリを管理する」を参照してください。
ServiceNow 統合 API の機能強化
OT センサー バージョン 22.2.4 では、特定の デバイスで検出された CVE の詳細を取得する devicecves
API の機能強化が提供されます。
次に、次のいずれかのパラメーターをクエリに追加して、結果を微調整できます。
- 「センサーId」 - 特定のセンサー ID で定義された特定のセンサーからの結果を表示します。
- 「スコア」 - 取得する CVE スコアの最小値を決定します。 すべての結果は、指定された値以上の CVE スコアを持ちます。 既定値 = 0。
- "deviceIds" - 結果を表示するデバイス ID のコンマ区切りの一覧。 例: 1232,34,2,456
詳しくは、「オンプレミス管理コンソールの統合 API リファレンス (パブリック プレビュー)」をご覧ください。
OT アプライアンスのハードウェア プロファイルの更新
透明度と透過性を高める目的で、OT アプライアンス ハードウェア プロファイルの名前付け規則を最新の情報に更新しました。
新しい名前には、 企業、 エンタープライズ、 運用ラインなどのプロファイルの 型と、関連するディスク ストレージ サイズの両方が反映されます。
次の表を使用して、レガシのハードウェア プロファイル名と、更新されたソフトウェア インストールで使用されている現在の名前間のマッピングを理解します:
従来の名前 | 新しい名前 | 説明 |
---|---|---|
企業 | C5600 | 企業 環境は以下の: 16 コア 32 GB の RAM 5.6 TB のディスク ストレージ |
エンタープライズ | E1800 | 企業 環境は以下の: 8 コア 32 GB の RAM 1.8 TB のディスク ストレージ |
SMB | L500 | 製品ライン 環境は、以下の: 4 コア 8 GB の RAM 500 GB のディスク ストレージ |
Office | L100 | 製品ライン 環境は、以下の: 4 コア 8 GB の RAM 100 GB のディスク ストレージ |
ラグド | L64 | 製品ライン 環境は、以下の: 4 コア 8 GB の RAM 64 GB のディスク ストレージ |
また、500 GB と 1 TB のディスク サイズの両方をサポートするセンサー用の新しいエンタープライズ ハードウェア プロファイルもサポートされるようになりました。
詳細については、「必要なアプライアンス」を参照してください。
Azure portalからの PCAP アクセス (パブリック プレビュー)
これで、パケット キャプチャ ファイルまたは PCAP ファイルと呼ばれる未加工のトラフィック ファイルに、Azure portalから直接アクセスできます。 このフィーチャーでは、Defender for IoT または Microsoft Sentinel からのアラートを調査する SOC または OT セキュリティ エンジニアがサポートされます。各センサーに個別にアクセスする必要はありません。
PCAP ファイルは Azure ストレージにダウンロードされます。
詳細については、Azure portalからのアラートの表示と管理に関するページを参照してください。
センサーとAzure portal間の双方向アラート同期 (パブリック プレビュー)
バージョン 22.2.1 に更新されたセンサーの場合、アラートの状態と学習状態がセンサー コンソールとAzure portalの間で完全に同期されるようになりました。 たとえば、これは、Azure portalまたはセンサー コンソールでアラートを閉じることができ、両方の場所でアラートの状態が更新されることを意味します。
Azure portalまたはセンサー コンソールからアラートを確認し、次回同じネットワーク トラフィックが検出されるときに再度トリガーされないようにします。
センサー コンソールもオンプレミスの管理コンソールと同期されるため、アラートの状態と学習状態は管理インターフェイス全体で最新の状態を維持します。
詳細については、次を参照してください。
証明書のローテーション後に復元されたセンサー接続
バージョン 22.2.3 以降では、証明書をローテーションした後、センサー接続がオンプレミスの管理コンソールに自動的に復元されるため、手動で再接続する必要はありません。
詳細については、「OT アプライアンスの SSL/TLS 証明書の作成」および「SSL/TLS 証明書の管理」を参照してください。
診断ログの機能強化のサポート (パブリック プレビュー)
センサー バージョン 22.1.1 以降では、チケットをオープンしたときにサポートに送信する診断ログをセンサー コンソールからダウンロードできます。
ローカルで管理されるセンサーの場合は、その診断ログをAzure portalに直接アップロードできます。
ヒント
クラウドに接続されたセンサーの場合、センサー バージョン 22.1.3 以降では、チケットをオープンすると診断ログが自動的にサポート可能になります。
詳細については、次を参照してください。
ブラウザーのタブに表示されるセンサー名
センサー バージョン 22.2.3 以降では、センサーの名前がブラウザー タブに表示されるため、操作しているセンサーを簡単に識別できます。
次に例を示します。
詳細については、「個々のセンサーの管理」を参照してください。
Microsoft Sentinel インシデントと Defender for IoT アラートの同期
Defender for IoT ソリューションを使用した IoT OT 脅威のモニタリングにより、Defender for IoT のアラートが、Microsoft Sentinel からの関連するインシデントの状態の変更で確実に更新されるようになりました。
この同期は、アラートの状態が関連するインシデントの状態と一致するように、Defender for IoT で定義されているすべての状態を Azure portal またはセンサー コンソールでオーバーライドします。
新しい AD4IoT-AutoAlertStatusSync プレイブックなど、最新の同期サポートを使用するように、Defender for IoT ソリューションを使用して IoT OT 脅威モニタリングを更新します。 ソリューションを更新したら、必要 なステップ を実行して、新しいプレイブックが期待どおりに動作することを確認します。
詳細については、次を参照してください。
- チュートリアル: Defender for IoT と Sentinel を統合する
- Defender for IoT ポータルでアラートを表示および管理する (プレビュー)
- センサーでアラートを表示する
2022 年 6 月
センサー ソフトウェア バージョン 22.1.6: 内部センサー コンポーネントのメンテナンス更新プログラムを含むマイナー バージョン
センサー ソフトウェア バージョン 22.1.5: TI インストール パッケージとソフトウェア更新プログラムを強化するためのマイナー バージョン
最近、次のようにドキュメントを最適化して強化しました。
OT 環境のアプライアンス カタログの更新
OT 環境を監視するためにサポートされているアプライアンスのカタログを更新し、改訂しました。 これらのアプライアンスは、あらゆるサイズの環境での柔軟なデプロイ オプションをサポートしており、OT 監視センサーとオンプレミス管理コンソールの両方をホストするために使用できます。
次のように新しいページを使用します。
組織のニーズに最も適したハードウェア モデルを理解します。 詳細については、「必要なアプライアンス」を参照してください。
購入できる構成済みのハードウェア アプライアンス、または仮想マシンのシステム要件について学習します。 詳細については、「OT 監視用に事前構成された物理アプライアンス」および「仮想アプライアンスを使用した OT 監視」を参照してください。
アプライアンスの種類ごとの詳細については、リンクされたリファレンス ページを使用するか、新しい「リファレンス」 > 「OT 監視アプライアンス」のセクションを参照してください。
アプライアンスの各種類 (仮想アプライアンスを含む) のリファレンス記事には、Defender for IoT を使用する OT 監視のためにアプライアンスを構成する具体的な手順が含まれます。 一般的なソフトウェアのインストールとトラブルシューティングの手順については、「Defender for IoT ソフトウェアのインストール」を参照してください。
エンドユーザー組織のためのドキュメントの再編成
最近、エンドユーザー組織向けに Defender for IoT ドキュメントを再編成し、オンボードと開始のためのパスがわかりやすくなるように強調しました。
デバイスと資産の表示、アラート、脆弱性、脅威の管理、他のサービスとの統合、Defender for IoT システムのデプロイと保守を実施する際に、新しい構成をご覧ください。
新しい記事および更新した記事は次のとおりです。
- 組織向けの Microsoft Defender for IoT の概要
- Microsoft Defender for IoT のアーキテクチャ
- クイックスタート: Defender for IoT での作業を開始する
- チュートリアル: Microsoft Defender for IoT の試用版のセットアップ
- チュートリアル: Enterprise IoT を始める
注意
GitHub を介してドキュメントのフィードバックを送信するには、ページの下部までスクロールして、[このページ] の [フィードバック] オプションを選択します。 ご意見をお待ちしております。
2022 年 4 月
デバイス インベントリの拡張デバイス プロパティ データ
センサー ソフトウェアのバージョン: 22.1.4
バージョン 22.1.4 に更新されたセンサーより、Azure portal の [デバイス インベントリ] ページに次のフィールドの拡張データが表示されます。
- 説明
- タグ
- プロトコル
- スキャナー
- 最終アクティビティ
詳細については、Azure portal からのデバイス インベントリの管理に関するページを参照してください。
2022 年 3 月
センサーのバージョン: 22.1.3
- Microsoft Defender for IoT で Azure Monitor ブックを使用する
- IoT OT Threat Monitoring with Defender for IoT ソリューションの一般提供
- Azure portal からデバイスを編集および削除する
- キー状態アラートの更新
- CLI セッションからサインアウトする
Microsoft Defender for IoT で Azure Monitor ブックを使用する (パブリック プレビュー)
Azure Monitor ブックは、Azure Resource Graph からのデータを視覚的に反映し、Microsoft Defender for IoT で直接使用できるグラフとダッシュボードを提供します。
Azure portal で、Defender for IoT の新しい [ブック] ページを使用すると、Microsoft が作成し、すぐに使用できる状態で提供されているブックを表示することや、独自のカスタム ブックを作成することができます。
詳しくは、「Microsoft Defender for IoT で Azure Monitor ブックを使用する」を参照してください。
IoT OT Threat Monitoring with Defender for IoT ソリューションの一般提供
Microsoft Sentinel の IoT OT Threat Monitoring with Defender for IoT ソリューションの一般提供が開始されました。 Azure portal で、このソリューションを使用すると、既存の OT デバイスを保護する必要がある場合も、新しい OT イノベーションにセキュリティを組み込む必要がある場合も、OT 環境全体をセキュリティで保護できます。
詳しくは、「エンタープライズの SOC における OT 脅威の監視」およびチュートリアル: Defender for IoT と Sentinel の統合に関するページを参照してください。
Azure portal からデバイスを編集および削除する (パブリック プレビュー)
Azure portal の [デバイス インベントリ] ページで、セキュリティ、分類、場所など、デバイスの詳細を編集する機能がサポートされるようになりました。
詳しくは、「デバイスの詳細を編集する」を参照してください。
デバイスが非アクティブになってからの経過時間が 14 日を超えている場合にのみ、Defender for IoT からデバイスを削除できます。 詳しくは、「デバイスの削除」を参照してください。
キー状態アラートの更新 (パブリック プレビュー)
Defender for IoT は、PLC 動作モード検出のために Rockwell プロトコルをサポートするようになりました。
Rockwell プロトコルについては、Azure portal とセンサー コンソールの両方の [デバイス インベントリ] ページで、PLC 動作モード キーと実行状態、デバイスが現在セキュア モードであるかどうかが示されるようになりました。
デバイスの PLC 動作モードが、"プログラム"、"リモート" などのセキュリティで保護されていないモードに切り替わると、[PLC 動作モードが変更されました] というアラートが生成されます。
詳しくは、「組織のデバイス インベントリを使用して IoT デバイスを管理する」を参照してください。
CLI セッションからサインアウトする
このバージョン以降、CLI ユーザーは、非アクティブな時間が 300 秒を超えると、セッションから自動的にサインアウトされます。 手動でサインアウトするには、新しい logout
CLI コマンドを使用します。
詳しくは、「Defender for IoT の CLI コマンドを操作する」を参照してください。
2022 年 2 月
センサー ソフトウェアのバージョン: 22.1.1
- 新しいセンサー インストール ウィザード
- センサーの再設計と統合された Microsoft 製品のエクスペリエンス
- 拡張センサーについての概要ページ
- 診断ログの新しいサポート
- アラートの更新
- カスタム アラートの更新
- CLI command updates
- バージョン 22.1.x への更新
- 新しい接続モデルとファイアウォールの要件
- プロトコルの機能強化
- オプションと構成の変更、置換、または削除
新しいセンサー インストール ウィザード
以前は、センサー認証ファイルをアップロードし、センサー ネットワーク構成を確認し、SSL/TLS 証明書を構成するために、個別のダイアログを使用する必要がありました。
新しいセンサーまたは新しいセンサー バージョンをインストールすると、インストール ウィザードによって、これらすべてのタスクを 1 つの場所から実行できる簡素化されたインターフェイスが提供されるようになりました。
詳細については、Defender for IoT のインストールに関する記事を参照してください。
センサーの再設計と統合された Microsoft 製品のエクスペリエンス
Defender for IoT センサー コンソールが再設計され、統合された Microsoft Azure エクスペリエンスが作成されて、ワークフローが強化および簡素化されました。
これらの機能が新たに一般提供 (GA) されました。 更新には、一般的な外観と感覚、ドリルダウン ウィンドウ、検索とアクションのオプションなどが含まれます。 次に例を示します。
簡略化されたワークフローには次のものが含まれます。
[デバイス インベントリ] ページに、デバイスの詳細ページが表示されるようになりました。 テーブル内のデバイスを選択し、右側にある [詳細の表示] を選択します。
センサーのインベントリから更新されたプロパティが、クラウド デバイス インベントリで自動的に更新されるようになりました。
[デバイス マップ] ページまたは [デバイス インベントリ] ページからアクセスされるデバイスの詳細ページは、読み取り専用として表示されます。 デバイスのプロパティを変更するには、左下にある [プロパティの編集] を選択します。
[データ マイニング] ページにレポート機能が追加されるようになりました。 [レポート] ページの削除中、読み取り専用アクセス権を持つユーザーは、レポートや設定を変更することなく、[データ マイニング] ページで更新プログラムを表示できます。
管理者ユーザーが新しいレポートを作成する場合、 [CM に送信] オプションをオンに切り替え、中央管理コンソールにもレポートを送信できるようになりました。 詳細については、「レポートの作成」を参照してください。
[システム設定] 領域は、基本設定、ネットワーク監視の設定、センサー管理、統合、インポート設定のセクションに再構成されました。
センサーのオンライン ヘルプが、Microsoft Defender for IoT ドキュメントの主要な記事にリンクされるようになりました。
Defender for IoT マップには次のものが含まれます。
アラートとデバイスの詳細ページに新しい[マップ ビュー]が表示され、環境内のアラートまたはデバイスの場所が表示されるようになりました。
マップ上のデバイスを右クリックすると、関連するアラート、イベント タイムライン データ、接続されているデバイスなどを含んだ、デバイスに関するコンテキスト情報が表示されます。
[IT ネットワーク グループの表示を無効にする] を選択して、マップ内の IT ネットワークを折りたたむ機能を抑止します。 このオプションは既定ではオンになっています。
[簡略化されたマップ ビュー] オプションが削除されました。
Microsoft の標準に準拠するために、グローバルな対応性とアクセシビリティ機能も実装しました。 オンプレミスのセンサー コンソールでは、これらの更新プログラムに、ハイ コントラストと通常の画面表示の両方のテーマと、15 言語以上のローカライズが含まれます。
次に例を示します。
次のように画面の右上隅にある [設定] アイコンから、グローバル対応性とアクセシビリティのオプションにアクセスします。
拡張センサーについての概要ページ
Defender for IoT センサー ポータルの [ダッシュボード] ページの名前が [概要] に変更され、システムの展開の詳細、重要なネットワーク監視の正常性、上位のアラート、重要な傾向と統計が強調表示されるデータが追加されました。
[概要] ページもブラックボックスとして機能するようになり、Azure portal などへの送信接続がダウンした場合に、センサーの全体的な状態が表示されます。
左側の [分析] メニューにある [傾向と統計] ページを使用して、さらにダッシュボードを作成します。
診断ログの新しいサポート
サポート チケットに追加されるログとシステム情報の概要を取得できるようになりました。 [バックアップと復元] ダイアログで、[サポート チケット診断] を選択します。
詳細については、「サポート用の診断ログをダウンロードする」を参照してください
アラートの更新
Azure portal で次の操作を行います。
アラートは、Azure portal の Defender for IoT で入手可能になりました。 アラートを使用して、ご使用の IoT/OT ネットワークのセキュリティと操作を強化しましょう。
新しい [アラート] ページは現在 [パブリック プレビュー] で、次の機能を提供します。
- ネットワーク センサーによって検出された脅威の集計されたリアルタイム ビュー。
- デバイスとネットワーク プロセスの修復手順。
- Microsoft Sentinel にアラートをストリーミングし、SOC チームを強化しましょう。
- 最初に検出された時刻から 90 日間のアラート ストレージ。
- ソースと送信先のアクティビティ、アラートの重大度と状態、MITRE ATT&CK 情報、アラートに関するコンテキスト情報を調査するためのツール。
次に例を示します。
センサー コンソール上:
センサー コンソールの [アラート] ページに、Azure 上の Defender for IoT へのクラウド接続で構成されているセンサーによって検出されたアラートの詳細が表示されるようになりました。 Azure とオンプレミスの両方でアラートを操作するユーザーは、Azure portal とオンプレミスのコンポーネント間のアラート管理がどのように動作するかを理解する必要があります。
その他のアラートの更新プログラムは次が含まれます。
同じ時刻に発生したイベントや、接続されているデバイスのマップなど、各アラートのコンテキスト データにアクセスします。 接続されているデバイスのマップは、センサー コンソールのアラートに対してのみ使用できます。
アラートの状態が更新され、たとえば、"受信確認" ではなく "クローズ" 状態が含まれるようになりました。
最初に検出された時刻から 90 日間のアラート ストレージ。
[ウイルス対策のシグネチャを持つバックアップ アクティビティ] この新しいアラート警告は、ソース デバイスと送信先のバックアップ サーバー間で検出されたトラフィックに対してトリガーされます。これは、通常正当なバックアップ アクティビティです。 このようなアクティビティでは、重大または重大なマルウェアのアラートはトリガーされなくなりました。
アップグレード中、現在アーカイブされているセンサー コンソールのアラートが削除されます。 ピン留めされたアラートは現在サポートされていないため、センサー コンソールのアラートに関連する pin が削除されます。
詳細については、「センサーのアラートを表示する」を参照してください。
カスタム アラートの更新
センサーコンソールの [カスタム アラート ルール] ページで、次のことができるようになりました。
[カスタム アラート ルール] テーブルのヒットカウント情報。作成した各ルールの過去 1 週間に発生したアラート数に関する詳細が表示されます。
通常の作業時間外に実行するカスタム アラート ルールをスケジュールする機能。
DPI エンジンを使用してプロトコルから抽出できる任意のフィールドに対してアラートを行う機能。
カスタム ルールを作成する場合、プロトコルのサポートを完了し、関連するさまざまなプロトコル変数をサポートします。
詳細については、「OT センサーでカスタム アラート ルールを作成する」を参照してください。
CLI command updates
Defender for IoT センサー ソフトウェアのインストールがコンテナー化されるようになりました。 今回コンテナー化されたセンサーによって、 cyberx_host ユーザーを使用して、他のコンテナーやオペレーティング システムの問題を調査したり、FTP 経由でファイルを送信したりすることができます。
この cyberx_host ユーザーは既定で使用可能であり、ホスト コンピューターに接続します。 必要であれば、Defender for IoT の [サイトとセンサー] ページから cyberx_host ユーザーのパスワードを復元します。
コンテナー化されたセンサーの一部として、次の CLI コマンドが変更されています。
従来の名前 | Replacement |
---|---|
cyberx-xsense-reconfigure-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reload-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reconfigure-hostname |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-system-remount-disks |
sudo dpkg-reconfigure iot-sensor |
sudo cyberx-xsense-limit-interface-I eth0 -l value
CLI コマンドが削除されました。 このコマンドは、センサーが日常的な手順に使用するインターフェイスの帯域幅を制限するために使用され、現在はサポートされていません。
詳細については、「OT センサーに OT 監視ソフトウェアをインストールする」、「Defender for IoT CLI ユーザーとアクセス」、および「OT ネットワーク センサーからの CLI コマンド リファレンス」を参照してください。
Update to version 22.1.x
IoT の最新機能に対して Defender のすべてを使用するには、センサーソフトウェアのバージョンを22.1.x に更新してください。
レガシ バージョンを使用している場合、最新バージョンを入手するには、一連の更新プログラムの実行が必要となる場合があります。 また、新しいアクティブ化ファイルを使用して、ファイアウォール規則を更新し、センサーを再アクティブ化する必要もあります。
バージョン 22.1.x にアップグレードした後、新しいアップグレード ログは、SSH を介してアクセスされる次のパスと cyberx_host ユーザー/opt/sensor/logs/legacy-upgrade.log
で見ることができます。
詳細については、 OT システム ソフトウェアの更新を参照してください。
注意
バージョン22.1 にアップグレードすることは大きな更新プログラムであり、更新プロセスは以前の更新プログラムよりも多くの時間を必要とします。
新しい接続モデルとファイアウォールの要件
Defender for IoT バージョン 22.1.x は、簡素化されたデプロイ、強化されたセキュリティ、スケーラビリティ、柔軟な接続を提供する新しい一連のセンサー接続方法をサポートしています。
この新しい接続モデルでは、移行の手順に加えて、新しいファイアウォール規則を開設する必要があります。 詳細については、次を参照してください。
- 新しいファイアウォール要件: センサーから Azure portal へのアクセス.
- アーキテクチャ: センサー接続方法
- 接続手順: Microsoft Defender for IoT にセンサーを接続する
プロトコルの機能強化
このバージョンの Defender for IoT では、次のサポートが強化されています。
- Profinet DCP
- Honeywell
- Windows エンドポイント検出
詳細については、「Microsoft Defender for IoT - サポート対象 IoT、OT、ICS、SCADA プロトコル」を参照してください。
オプションと構成の変更、置換、または削除
次の Defender IoT オプションと構成は、移動、削除、または置換されています。
[レポート] ページで以前に検出されたレポートは、代わりに [データマイニング] ページに表示されるようになりました。 また、引き続きオンプレミスの管理コンソールから、データ マイニング情報を直接表示することもできます。
ローカルで管理されているセンサー名の変更がサポートされるようになりました。センサーを新しい名前で Azure portal に再度オンボーディングするだけです。 センサー名はセンサーからは直接変更できなくなりました。 詳細については、「新しいアクティブ化ファイルをアップロードする」を参照してください。