次の方法で共有

OT センサーでアラートを表示および管理する

  • [アーティクル]

Microsoft Defender for IoT アラートは、ネットワークのログに記録されるイベントに関するリアルタイムの詳細情報を使用して、ネットワークのセキュリティと運用を強化します。 注意が必要なネットワーク トラフィック内の変化や疑わしいアクティビティが OT ネットワーク センサーによって検出されると、OT アラートがトリガーされます。

この記事では、OT ネットワーク センサーで Defender for IoT アラートを直接表示する方法について説明します。 Azure portal またはオンプレミス管理コンソールで OT アラートを表示することもできます。

詳細については、「Microsoft Defender for IoT アラート」を参照してください。

前提条件

  • OT センサーでアラートが表示されるようにするには、SPAN ポートがセンサー用に構成され、Defender for IoT 監視ソフトウェアがインストールされている必要があります。 詳細については、OT エージェントレス監視ソフトウェアのインストールに関する記事を参照してください。

  • OT センサーでアラートを表示するには、"管理者"、"セキュリティ アナリス"ト、または "ビューアー" のユーザーとしてセンサーにサインインします。

  • OT センサーでアラートを管理するには、"管理者" または "セキュリティ アナリス"トのユーザーとしてセンサーにサインインします。 アラート管理アクティビティには、状態または重大度の変更、アラートの "学習" または "ミュート"、PCAP データへのアクセス、事前に定義されたコメントのアラートへの追加が含まれます。

詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。

OT センサーでアラートを表示する

  1. OT センサー コンソールにサインインし、左側の [アラート] ページを選択します。

    既定では、次の詳細がグリッドに表示されます。

    名前 内容
    Severity センサーによって割り当てられた定義済みのアラートの重大度。必要に応じて変更可能であり、"重大"、"メジャー"、"マイナー"、"警告" に設定できます。
    名前 アラートのタイトル
    エンジン アクティビティを検出して、アラートをトリガーした Defender for IoT 検出エンジン
    最後の検出 アラートが最後に検出された時刻。

    - アラートの状態が [新規] で、同じトラフィックが再び表示された場合は、同じアラートに対して [最後の検出] の時刻 が更新されます。
    - アラートの状態が [クローズ] で、トラフィックが再び表示された場合は、[最後の検出] の時刻は更新 "されず"、新しいアラートがトリガーされます。

    : センサー コンソールにはアラートの [最後の検出] フィールドがリアルタイムで表示されますが、Azure portal の Defender for IoT では、更新された時刻が表示されるまでに最大 1 時間かかる場合があります。 ここでは、センサー コンソールの最後の検出時刻が Azure portal の最後の検出時刻と同じではないシナリオについて説明します。
    Status アラートの状態: "新規"、"アクティブ"、"クローズ"

    詳細については、「アラートの状態とトリアージ オプション」を参照してください。
    ソース デバイス ソース デバイスの IP アドレス、MAC、またはデバイス名。
    Id Azure portal の ID と一致する一意のアラート ID。

    注: アラートが同じアラートを検出したセンサーからの他のアラートとマージされた場合、Azure portal には、アラートを生成した最初のセンサーのアラート ID が表示されます。

    1. 詳細を表示するには、[列の編集] ボタンを選択します。

      右側の [列の編集] ペインで、[列の追加] と次のその他の任意の列を選択します。

      名前 説明
      宛先デバイス 送信先デバイスの IP アドレス。
      最初の検出 アラート アクティビティが初めて検出された時刻。
      ID アラート ID。
      最後のアクティビティ 重大度または状態の手動更新、デバイスの更新またはデバイスやアラートの重複除去の自動変更など、アラートが最後に変更された時刻

表示されるアラートをフィルター処理する

検索ボックス、時間の範囲、およびフィルターの追加オプションを使用して、特定のパラメーターで表示されるアラートをフィルター処理したり、特定のアラートを見つけたりします。

次に例を示します。

[グループ] でフィルター処理されている OT センサーの [アラート] ページのスクリーンショット。

[グループ] 別のアラートのフィルター処理では、[デバイス インベントリ] または [デバイス マップ] のページで作成したカスタム グループが使用されます。

表示されるアラートをグループ化する

右上の [グループ化] メニューを使用して、"重大度"、"名前"、"エンジン"、または "状態" に応じてグリッドをサブセクションに折りたたみます。

たとえば、アラートの合計数がグリッドの上に表示されますが、特定の重大度や状態を持つアラートの数など、アラート数の内訳に関する特定の詳細情報がさらに必要になる場合があります。

詳細を表示し、特定のアラートを修復する

  1. OT センサーにサインインし、左側のメニューで [アラート] を選択します。

  2. グリッド内のアラートを選択し、右側のペインにより詳細な情報を表示します。 アラートの詳細ウィンドウには、アラートの説明、トラフィックの送信元と送信先などの情報が含まれます。 さらに詳しく調査するには、[すべての詳細を表示] を選択します。 次に例を示します。

    OT センサーの [アラート] ページから選択されたアラートのスクリーンショット。

  3. アラートの詳細ページでは、アラートの詳細が表示され、[アクションを取る] タブに一連の修復手順が示されます。

    次のタブを使用すると、コンテキストにより適合した分析情報を得ることができます。

    • マップ ビュー。 センサーに接続されている他のデバイスとともに、ソースと宛先のデバイスをマップ ビューに表示します。

    • イベント タイムライン。 関連するデバイス上の最近の他のアクティビティと共にイベントを表示します。 オプションをフィルター処理して、表示されるデータをカスタマイズします。 次に例を示します。

      アラートの詳細ページのイベント タイムラインのスクリーンショット。

アラートの状態を管理してアラートをトリアージする

修復手順を実行したら必ずアラートの状態を更新して、進行状況が記録されるようにします。 1 つのアラートの状態を更新することも、選択した一連のアラートの状態を一括で更新することもできます。

検出されたネットワーク トラフィックが認可済みであることを Defender for IoT に示すアラートについて "学習" します。 学習したアラートは、次回ネットワーク上で同じトラフィックが検出されたときに、再びトリガーされることはありません。 学習が利用できず、ネットワーク上の特定のシナリオを無視する場合は、アラートを "ミュート" します。

詳細については、「アラートの状態とトリアージ オプション」を参照してください。

  • アラートの状態を管理するには:

    1. OT センサー コンソールにサインインし、左側の [アラート] ページを選択します。

    2. グリッドで、状態を更新するアラートを 1 つ以上選択します。

    3. ツールバーの [状態の変更] ボタン、または右側の詳細ペインの [状態] オプションを使用して、アラートの状態の更新します。

      [状態] オプションは、アラートの詳細ページでも使用できます。

  • 1 つ以上のアラートを学習するには:

    OT センサー コンソールにサインインし、左側の [アラート] ページを選択して、次のいずれかの操作を行います。

    • グリッドで 1 つ以上の学習可能なアラートを選択し、ツール バーの [学習] を選択します。
    • [アラートの詳細] ページの [アクションの実行] タブで、[学習] を選択します。

  • アラートをミュートするには:

    1. OT センサー コンソールにサインインし、左側の [アラート] ページを選択します。
    2. ミュートするアラートを見つけて、そのアラート詳細ページを開きます。
    3. [アクションを取る] タブで、[アラートのミュート] オプションをオンにします。

  • アラートの学習またはミュートを解除するには:

    1. OT センサー コンソールにサインインし、左側の [アラート] ページを選択します。
    2. 学習またはミュートしたアラートを見つけて、そのアラート詳細ページを開きます。
    3. [アクションを取る] タブで、[Alert learn] (アラートの学習) または [アラートのミュート] オプションをオフにします。

    アラートの学習またはミュートを解除すると、選択したトラフィックの組み合わせがセンサーで検出されるたびにアラートが再トリガーされます。

アラートの PCAP データにアクセスする

調査の一環として、未加工のトラフィック ファイル ("パケット キャプチャ ファイル" または "PCAP ファイル" とも呼ばれます) にアクセスしたい場合があります。

アラートの未加工のトラフィック ファイルにアクセスするには、アラートの詳細ページの左上隅にある [PCAP のダウンロード] を選択します。

次に例を示します。

OT センサーの PCAP のダウンロード オプションのスクリーンショット。

PCAP ファイルがダウンロードされ、ブラウザーからローカルで開くか保存するように求められます。

アラートを CSV または PDF にエクスポートする

オフライン共有とレポート作成のために、選択した一連のアラートを CSV または PDF ファイルにエクスポートできます。

  • メインの [アラート] ページからアラートを CSV ファイルにエクスポートします。 アラートを一度に 1 つずつ、または一括でエクスポートします。
  • メインの [アラート] ページまたはアラートの詳細ページから、アラートを一度に 1 つだけ PDF ファイルにエクスポートします。

アラートを CSV ファイルにエクスポートするには:

  1. OT センサー コンソールにサインインし、左側の [アラート] ページを選択します。

  2. 検索ボックスとフィルターのオプションを使用して、エクスポートするアラートのみを表示します。

  3. グリッドの上にあるツール バーで、[CSV へのエクスポート] を選択します。

ファイルが生成され、ローカルで開くか保存するように求められます。

アラートを PDF ファイルにエクスポートするには:

OT センサー コンソールにサインインし、左側の [アラート] ページを選択して、次のいずれかの操作を行います。

  • [アラート] ページでアラートを選択し、グリッドの上のツールバーで [PDF にエクスポートする] を選択します。
  • アラートの詳細ページで、[PDF にエクスポートする] を選択します。

ファイルが生成され、ローカルに保存するように求められます。

アラート コメントを追加する

アラート コメントは、チーム メンバー間のコミュニケーションとデータの記録をより効率的に行うことで、調査と修復のプロセスを加速するのに役立ちます。

管理者が、アラートに追加するためのチーム用のカスタム コメントを作成した場合は、アラートの詳細ページの [コメント] セクションから追加します。

  1. OT センサー コンソールにサインインし、左側の [アラート] ページを選択します。

  2. コメントを追加するアラートを見つけて、アラートの詳細ページを開きます。

  3. [コメントの選択] リストから、追加するコメントを選択し、[追加] を選択します。 次に例を示します。

    センサーのアラートの詳細ページの [コメント] セクションのスクリーンショット。

詳細については、「OT アラート ワークフローの高速化」を参照してください。

次の手順

Microsoft Defender for IoT 全体のデータ保持