オンプレミスの OT アラート情報を転送する
Microsoft Defender for IoT アラートは、ネットワークのログに記録されるイベントに関するリアルタイムの詳細情報を使用して、ネットワークのセキュリティと運用を強化します。 注意が必要なネットワーク トラフィック内の変化や疑わしいアクティビティが OT ネットワーク センサーによって検出されると、OT アラートがトリガーされます。
この記事では、OT センサーまたはオンプレミス管理コンソールを構成して、アラートをパートナー サービス、syslog サーバー、電子メール アドレスなどに転送する方法について説明します。 転送されたアラート情報には、次のような詳細が含まれます。
- アラートの日付と時刻
- イベントを検出したエンジン
- アラートのタイトルと説明メッセージ
- アラートの重大度
- 送信元と送信先の名前と IP アドレス
- 検出された疑わしいトラフィック
- 切断されたセンサー
- リモート バックアップの失敗
注意
転送アラート ルールは、転送ルールの作成後にトリガーされたアラートに対してのみ実行されます。 転送ルールが作成される前にシステムに既に存在していたアラートは、ルールの影響を受けません。
前提条件
転送アラート ルールを作成する場所に応じて、管理ユーザーとしてアクセスして、OT ネットワーク センサーまたはオンプレミス管理コンソールのいずれかをインストールしている必要があります。
詳細については、OT エージェントレス監視ソフトウェアのインストールに関するページおよび「Defender for IoT での OT 監視のためのオンプレミス ユーザーおよびロール」を参照してください。
また、OT センサーまたはオンプレミス管理コンソールで SMTP 設定を定義することも必要です。
詳細については、OT センサーでの SMTP メール サーバー設定の構成に関するページおよびオンプレミス管理コンソールでの SMTP メール サーバー設定の構成に関するページを参照してください。
OT センサーで転送ルールを作成する
OT センサーにサインインし、左側のメニューの[転送]>[+ 新しいルールの作成] を選択します。
[転送ルールの追加] ウィンドウで、わかりやすいルール名を入力し、次のようにルールの条件とアクションを定義します。
名前 説明 最小アラート レベル 転送する最小のアラート重大度レベルを選択します。
たとえば、[マイナー] を選択すると、マイナー アラートおよびこの重大度レベルよりも上のすべてのアラートが転送されます。検出された任意のプロトコル オンにしてすべてのプロトコル トラフィックからアラートを転送するか、オフにして、含める特定のプロトコルを選択します。 任意のエンジンによって検出されたトラフィック オンにしてすべての分析エンジンからアラートを転送するか、オフにして、含める特定のエンジンを選択します。 アクション アラートを転送する先のサーバーの種類を選択し、そのサーバーの種類に必要なその他の情報を定義します。
同じルールに複数のサーバーを追加するには、 [+ サーバーの追加] を選択し、詳細を追加します。
詳細については、「アラート転送ルール アクションを構成する」を参照してください。ルールの構成が完了したら、[保存] を選択します。 ルールが [転送] ページに表示されます。
作成したルールをテストします。
- ルールのオプション メニュー (...) >[テスト メッセージの送信] を選択します。
- ターゲット サービスにアクセスして、センサーから送信された情報が受信されていることを確認します。
OT センサーで転送ルールを編集または削除する
既存のルールを編集または削除するには、次の手順を実行します。
OT センサーにサインインし、左側メニューの [転送] を選択します。
ルールのオプション メニュー (...) を選択し、次のいずれかの操作を行います。
[編集] を選択し、必要に応じてフィールドを更新します。 終了したら、 [保存] を選択します。
[削除]>[はい] を選択して削除を確定します。
オンプレミス管理コンソールで転送ルールを作成する
管理コンソールで転送ルールを作成するには:
オンプレミス管理コンソールにサインインし、左側メニューの [転送] を選択します。
右上にある + ボタンを選択して、新しいルールを作成します。
[転送ルールの作成] ウィンドウで、ルールのわかりやすい名前を入力し、次のようにルールの条件とアクションを定義します。
名前 説明 最小アラート レベル ダイアログの右上にあるドロップダウン リストを使用して、転送する最小のアラート重大度レベルを選択します。
たとえば、[マイナー] を選択すると、マイナー アラートおよびこの重大度レベルよりも上のすべてのアラートが転送されます。プロトコル すべてのプロトコル トラフィックからアラートを転送するには [すべて] を選択し、特定のプロトコルのみを追加するには [Specific] (特定) を選択します。 エンジン すべてのセンサー分析エンジンによってトリガーされたアラートを転送するには [すべて] を選択し、特定のエンジンのみを追加するには [Specific] (特定) を選択します。 システム通知 [システム通知の報告] オプションを選択して、切断されたセンサーまたはリモート バックアップの失敗について通知します。 アラート通知 アラートの日付と時刻、タイトル、重大度、送信元と送信先の名前と IP アドレス、疑わしいトラフィック、およびイベントを検出したエンジンについて通知するには、[Report Alert Notifications] (アラート通知の報告) オプションを選択します。 アクション 適用するアクションを追加するには、[追加] を選択し、選択したアクションに必要なパラメーター値を入力します。 複数のアクションを追加するには、必要に応じてこの操作を繰り返します。
詳細については、「アラート転送ルール アクションを構成する」を参照してください。ルールの構成が完了したら、[保存] を選択します。 ルールが [転送] ページに表示されます。
作成したルールをテストします。
- ルールの行で、[test this forwarding rule] (この転送ルールをテストする) ボタンを選択します。 メッセージが正常に送信されると、成功通知が表示されます。
- パートナーのシステムにアクセスして、センサーから送信された情報が受信されていることを確認します。
オンプレミス管理コンソールで転送ルールを編集または削除する
既存のルールを編集または削除するには、次の手順を実行します。
オンプレミス管理コンソールにサインインし、左側メニューの [転送] を選択します。
ルールの行を見つけて、[編集] または [削除] ボタンを選択します。
ルールを編集する場合は、必要に応じてフィールドを更新し、[保存] を選択します。
ルールを削除する場合は、[確認] を選択して削除を確定します。
アラート転送ルール アクションを構成する
このセクションでは、OT センサーまたはオンプレミスの管理コンソールのいずれかで、サポートされている転送ルール アクションの設定を構成する方法について説明します。
電子メール アドレスのアクション
アラート データを構成済みの電子メール アドレスに転送するには、[電子メール] アクションを構成します。
[アクション] 領域で、次の詳細を入力します。
名前 | 説明 |
---|---|
[サーバー] | [電子メール] を選択します。 |
アラートを転送する先の電子メール アドレスを入力します。 ルールごとに、1 つの電子メール アドレスがサポートされます。 | |
タイム ゾーン | ターゲット システムのアラート検出に使用するタイム ゾーンを選択します。 |
Syslog サーバーのアクション
選択した種類の Syslog サーバーにアラート データを転送するように、Syslog サーバー アクションを構成します。
[アクション] 領域で、次の詳細を入力します。
名前 | 説明 |
---|---|
サーバー | 次のいずれかの種類の syslog 形式を選択します。 - SYSLOG サーバー (CEF 形式) - SYSLOG サーバー (LEEF 形式) - SYSLOG サーバー (オブジェクト) - SYSLOG サーバー (テキスト メッセージ) |
ホスト / ポート | Syslog サーバーのホスト名とポートを入力します |
タイム ゾーン | ターゲット システムのアラート検出に使用するタイム ゾーンを選択します。 |
プロトコル | テキスト メッセージでのみサポートされます。 [TCP] または [UDP] を選択します。 |
暗号化を有効にする | CEF 形式でのみサポートされます。 オンにして、TLS 暗号化証明書ファイル、キー ファイル、パスフレーズを構成します。 |
次のセクションでは、各形式の syslog 出力構文について説明します。
Syslog テキスト メッセージの出力フィールド
名前 | [説明] |
---|---|
Priority | ユーザー。 アラート: |
Message | CyberX platform name: センサー名。 Microsoft Defender for IoT Alert: アラートのタイトル。 Type: アラートの種類。 [Protocol Violation] 、 [Policy Violation] 、 [Malware] 、 [Anomaly] 、または [Operational] を指定できます。 Severity: アラートの重大度。 [Warning] 、 [Minor] 、 [Major] 、または [Critical] を指定できます。 Source: 送信元デバイスの名前。 ソース IP: 送信元デバイスの IP アドレス。 Protocol (省略可能): 検出されたソース プロトコル。 Address (省略可能): 同期元プロトコル アドレス。 Destination: 送信先デバイスの名前。 Destination IP: 送信先デバイスの IP アドレス。 Protocol (省略可能): 検出された同期先プロトコル。 Address (省略可能): 同期先プロトコル アドレス。 Message: アラートのメッセージ。 Alert group: アラートに関連付けられているアラート グループ。 UUID (省略可能): アラートの UUID。 |
Syslog オブジェクトの出力フィールド
名前 | [説明] |
---|---|
優先度 | User.Alert |
日付と時刻 | Syslog サーバー マシンで情報が受信された日付と時刻。 |
hostname | センサーの IP |
Message | Sensor name: アプライアンスの名前。 Alert time: アラートが検出された時刻。Syslog サーバー マシンの時刻とは異なる場合があり、転送ルールのタイム ゾーン構成によって決まります。 Alert title: アラートのタイトル。 Alert message: アラートのメッセージ。 Alert severity: アラートの重大度: [Warning]、[Minor]、[Major]、または [Critical]。 Alert type: [Protocol Violation] 、 [Policy Violation] 、 [Malware] 、 [Anomaly] 、または [Operational] 。 Protocol: アラートのプロトコル。 Source_MAC: 送信元デバイスの IP アドレス、名前、ベンダー、または OS。 Destination_MAC: 送信先デバイスの IP アドレス、名前、ベンダー、または OS。 データが見つからない場合、この値は [N/A] になります。 alert_group: アラートに関連付けられているアラート グループ。 |
Syslog CEF の出力フィールド
名前 | [説明] |
---|---|
優先度 | User.Alert |
日付と時刻 | センサーが情報を送信した日付と時刻 (UTC 形式) |
Hostname (ホスト名) | センサーのホスト名 |
Message | CEF:0 Microsoft Defender for IoT/CyberX センサー名 <センサーのバージョン> Microsoft Defender for IoT アラート アラートのタイトル 重要度を表す整数値。 1=警告、4=軽微、8=重大、10=危機的。 msg= アラートのメッセージ。 protocol= アラートのプロトコル。 severity= [Warning]、[Minor]、[Major]、または [Critical]。 type= [Protocol Violation]、[Policy Violation]、[Malware]、[Anomaly]、または [Operational]。 UUID: アラートの UUID (省略可能) start= アラートが検出された時刻。 Syslog サーバー マシンの時刻とは異なる場合があり、転送ルールのタイム ゾーン構成によって決まります。 src_ip= 同期元デバイスの IP アドレス。 (省略可能) src_mac= 同期元デバイスの MAC アドレス。 (省略可能) dst_ip= 同期先デバイスの IP アドレス。 (省略可能) dst_mac= 同期先デバイスの MAC アドレス。 (省略可能) cat= アラートに関連付けられているアラート グループ。 |
Syslog LEEF の出力フィールド
名前 | [説明] |
---|---|
優先度 | User.Alert |
日付と時刻 | センサーが情報を送信した日付と時刻 (UTC 形式) |
hostname | センサーの IP |
Message | センサー名: Microsoft Defender for IoT アプライアンスの名前。 LEEF:1.0 Microsoft Defender for IoT センサー <センサーのバージョン> Microsoft Defender for IoT アラート title: アラートのタイトル。 msg: アラートのメッセージ。 protocol: アラートのプロトコル。 severity: [Warning]、[Minor]、[Major]、または [Critical]。 type: アラートの種類: [Protocol Violation]、[Policy Violation]、[Malware]、[Anomaly]、または [Operational]。 start: アラートの時刻。 Syslog サーバー マシンの時刻とは異なる場合があり、タイム ゾーン構成によって決まります。 src_ip: 送信元デバイスの IP アドレス。 dst_ip: 送信先デバイスの IP アドレス。 cat: アラートに関連付けられているアラート グループ。 |
Webhook サーバー アクション
オンプレミス管理コンソールのみからサポートされます
Defender for IoT アラート イベントをサブスクライブする統合を構成するには、Webhook アクションを構成します。 たとえば、Webhook サーバーにアラート データを送信して、外部 SIEM システム、SOAR システム、またはインシデント管理システムを更新します。
アラートを Webhook サーバーに転送するように構成しているときに、アラート イベントがトリガーされると、オンプレミス管理コンソールでは、構成済みの Webhook URL に HTTP POST ペイロードを送信します。
[アクション] 領域で、次の詳細を入力します。
名前 | 説明 |
---|---|
[サーバー] | [Webhook] を選択します。 |
URL | Webhook サーバーの URL を入力します。 |
キー/値 | キーと値のペアを入力して、必要に応じて HTTP ヘッダーをカスタマイズします。 サポートされている文字は次のとおりです。 - キーには、文字、数字、ダッシュ、およびアンダースコアのみを含めることができます。 - 値には、先頭または末尾にスペースを 1 つだけ含めることができます。 |
Webhook 拡張
オンプレミス管理コンソールのみからサポートされます
Webhook 拡張アクションを構成して、次の追加データを Webhook サーバーに送信します。
- sensorID
- sensorName
- zoneID
- zoneName
- siteID
- siteName
- sourceDeviceAddress
- destinationDeviceAddress
- remediationSteps
- handled
- additionalInformation
[アクション] 領域で、次の詳細を入力します。
名前 | 説明 |
---|---|
[サーバー] | [Webhook 拡張] を選択します。 |
URL | エンドポイント データ URL を入力します。 |
キー/値 | キーと値のペアを入力して、必要に応じて HTTP ヘッダーをカスタマイズします。 サポートされている文字は次のとおりです。 - キーには、文字、数字、ダッシュ、およびアンダースコアのみを含めることができます。 - 値には、先頭または末尾にスペースを 1 つだけ含めることができます。 |
NetWitness のアクション
NetWitness サーバーにアラート情報を送信するように NetWitness アクションを構成します。
[アクション] 領域で、次の詳細を入力します。
名前 | 説明 |
---|---|
[サーバー] | [NetWitness] を選択します。 |
ホスト名/ポート | NetWitness サーバーのホスト名とポートを入力します。 |
タイム ゾーン | SIEM でのアラート検出用のタイム スタンプで使用するタイム ゾーンを入力します。 |
パートナー統合の転送ルールを構成する
Defender for IoT をパートナー サービスと統合して、アラートまたはデバイス インベントリ情報を別のセキュリティまたはデバイス管理システムに送信したり、パートナー側のファイアウォールと通信したりする場合があります。
パートナー統合を行うと、以前はサイロ化していたセキュリティ ソリューションをブリッジし、デバイスの可視性を向上させ、システム全体の応答を速めて、リスクをより迅速に軽減できます。
このような場合は、サポートされる [アクション] を使って、統合パートナー サービスとの通信に必要な資格情報や他の情報を入力します。
詳細については、以下を参照してください:
パートナー サービスでアラート グループを構成する
Syslog サーバー、QRadar、ArcSight にアラート データを送信するように転送ルールを構成すると、 "アラート グループ" が自動的に適用され、それらのパートナー サーバーで使用できるようになります。
"アラート グループ" は、SOC チームがこれらのパートナー ソリューションを使用して、エンタープライズ セキュリティ ポリシーとビジネスの優先順位に基づいてアラートを管理するのに役立ちます。 たとえば、新しい検出に関するアラートは 1 つの "検出" グループに編成され、これには新しいデバイス、VLAN、ユーザー アカウント、MAC アドレスなどに関するアラートが含まれます。
アラート グループは、次のプレフィックスを持つパートナー サービスに表示されます。
Prefix | パートナー サービス |
---|---|
cat |
QRadar、ArcSight、Syslog CEF、Syslog LEEF |
Alert Group |
Syslog テキスト メッセージ |
alert_group |
Syslog オブジェクト |
統合でアラート グループを使用するには、アラート グループ名を表示するようにパートナー サービスを構成してください。
既定では、アラートは次のようにグループ化されます。
- 異常な通信動作
- カスタム アラート
- リモート アクセス
- 異常な HTTP 通信動作
- 検出
- 再起動コマンドと停止コマンド
- 認証
- ファームウェアの変更
- スキャン
- 未認可の通信動作
- 無効なコマンド
- センサー トラフィック
- 帯域幅の異常
- インターネットへのアクセス
- マルウェアの疑い
- バッファー オーバーフロー
- 操作の失敗
- 悪意のあるアクティビティの疑い
- コマンドの失敗
- 操作上の問題
- 構成の変更
- プログラミング
詳細について、およびカスタム アラート グループを作成するには、Microsoft サポートにお問い合わせください。
転送ルールのトラブルシューティング
転送アラート ルールが期待どおりに動作しない場合は、次の詳細を確認してください。
証明書の検証。 Syslog CEF、Microsoft Sentinel、および QRadar の転送ルールでは、暗号化と証明書の検証がサポートされます。
OT センサーまたはオンプレミス管理コンソールが証明書を検証するように構成されているときに、証明書を検証できない場合、アラートは転送されません。
このような場合、センサーまたはオンプレミス管理コンソールがセッションのクライアントかつイニシエーターとなります。 証明書は通常、サーバーから受信されます。そうでなければ、統合をセットアップするための特定の証明書が提供される非対称暗号化を使用します。
アラートの除外ルール。 オンプレミス管理コンソールで除外ルールが構成されている場合、転送しようとしているアラートがセンサーで無視される可能性があります。 詳細については、「オンプレミス管理コンソールでアラート除外ルールを作成する」を参照してください。