チュートリアル: Microsoft Defender for IoT を Microsoft Sentinel に接続する
Microsoft Defender for IoT を使用すれば、既存のデバイスおよび Enterprise IoT 環境を保護する必要があるか、新しい IoT イノベーションにセキュリティを組み込む必要があるかを問わず、環境全体をセキュリティで保護できます。
Microsoft Sentinel と Microsoft Defender for IoT は、IT と OT のセキュリティの課題間のギャップを埋め、SOC チームがセキュリティの脅威を効率的かつ効果的に検出して対応する、最新の機能を提供するのに役立ちます。 Microsoft Defender for IoT と Microsoft Sentinel の統合により、組織は、IT と OT の境界を越えることの多いマルチステージ攻撃をすばやく検出できます。
このコネクタを使用すると、Microsoft Defender for IoT データを Microsoft Sentinel にストリーミングできるため、 Defender for IoT アラートとそれらが生成するインシデントを、より広範な組織の脅威のコンテキストで表示、分析、および対応できます。
このチュートリアルでは、次の内容を学習します。
- Defender for IoT データを Microsoft Sentinel に接続する
- Log Analytics を使用して Defender for IoT アラート データのクエリを実行する
前提条件
開始する前に、ワークスペースで次の要件を満たしていることを確認してください。
Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可。 詳細については、「Microsoft Sentinel のアクセス許可」を参照してください。
Microsoft Sentinel に接続するサブスクリプションに対する共同作成者または所有者のアクセス許可。
データが Defender for IoT にストリーミングされる、Azure サブスクリプション上の Defender for IoT プラン。 詳細については、クイック スタート: Defender for IoT の概要に関するページを参照してください。
Defender for IoT からのデータを Microsoft Sentinel に接続する
Defender for IoT データ コネクタを有効化して、すべての Defender for IoT イベントの Microsoft Sentinel へのストリーミングを開始します。
Defender for IoT データ コネクタを有効にするには:
Microsoft Sentinel の [構成]で、[データ コネクタ] を選択し、Microsoft Defender for IoT データ コネクタを探します。
右下にある [Open connector] (コネクタを開く) ページを選択します。
[Instructions] (手順) タブの[構成] の下で、アラートとデバイス アラートを Microsoft Sentinel にストリーム配信するサブスクリプションごとに [接続] を選択します。
何らかの接続変更を行った場合、サブスクリプション リストが更新されるまでに 10 秒以上かかることがあります。
詳細については、「Microsoft Sentinel を Azure、Windows、Microsoft、および Amazon サービスに接続する」を参照してください。
Defender for IoT アラートを表示する
Microsoft Sentinel にサブスクリプションを接続すると、Microsoft Sentinel ログ 領域で Defender for IoT アラートを表示できるようになります。
Microsoft Sentinel で、[ログ] > [AzureSecurityOfThings] > [SecurityAlert] の順に選択するか、SecurityAlert を検索します。
次のサンプル クエリを使用して、ログをフィルター処理し、Defender for IoT によって生成されたアラートを表示します。
Defender for IoT によって生成されたすべてのアラートを表示するには:
SecurityAlert | where ProviderName == "IoTSecurity"Defender for IoT によって生成された特定のセンサー アラートを表示するには:
SecurityAlert | where ProviderName == "IoTSecurity" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”Defender for IoT によって生成された特定の OT エンジン アラートを表示するには:
SecurityAlert | where ProviderName == "IoTSecurity" | where ProductComponentName == "MALWARE" SecurityAlert | where ProviderName == "IoTSecurity" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProviderName == "IoTSecurity" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProviderName == "IoTSecurity" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProviderName == "IoTSecurity" | where ProductComponentName == "OPERATIONAL"Defender for IoT によって生成された重大度の高いアラートを表示するには:
SecurityAlert | where ProviderName == "IoTSecurity" | where AlertSeverity == "High"Defender for IoT によって生成された特定のプロトコル アラートを表示するには:
SecurityAlert | where PProviderName == "IoTSecurity" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
注意
Microsoft Sentinel の [ログ] ページは、Azure Monitor の Log Analytics に基づいて作成されます。
詳細については、Azure Monitor のドキュメントの 「ログ クエリの概要」と「初めての KQL クエリを記述する」学習モジュールを参照してください。
アラートのタイムスタンプを理解する
Defender for IoT のアラートは、Azure portal とセンサー コンソールの両方で、アラートが最初に検出された時刻、最後に検出された時刻、最後に変更された時刻を追跡します。
次の表では、Defender for IoT のアラート タイムスタンプ フィールドと、Microsoft Sentinel に示されている Log Analytics の関連フィールドへのマッピングについて説明します。
| Defender for IoT のフィールド | 説明 | Log Analytics のフィールド |
|---|---|---|
| 最初の検出 | ネットワークでアラートが初めて検出された時刻を定義します。 | StartTime |
| 最後の検出 | ネットワークでアラートが最後に検出された時刻を定義し、[検出時間] 列を置き換えます。 | EndTime |
| 最後のアクティビティ | 重大度または状態の手動更新、デバイスの更新またはデバイス/アラートの重複除去の自動変更など、アラートが最後に変更された時刻を定義します | TimeGenerated |
Azure portal とセンサー コンソールの Defender for IoT では、既定で [最後の検出] 列が表示されます。 [アラート] ページの列を編集して、必要に応じて [最初の検出] 列と [最後のアクティビティ] 列を表示します。
詳細については、「Defender for IoT ポータルでアラートを表示および管理する (プレビュー)」と「センサーでアラートを表示する」を参照してください。
アラートごとの複数のレコードについて理解する
Defender for IoT のアラート データは Microsoft Sentinel にストリーミングされ、Log Analytics ワークスペースの SecurityAlert テーブルに格納されます。
SecurityAlert テーブル内のレコードは、Defender for IoT でアラートが生成または更新されるたびに作成されます。 1 つのアラートに複数のレコードが含まれる場合があります。たとえば、アラートが最初に作成された後に更新される場合などです。
Microsoft Sentinel で次のクエリを使用して、 1 つのアラートについて SecurityAlert テーブルに追加されたレコードを確認します。
SecurityAlert
| where ProviderName == "IoTSecurity"
| where VendorOriginalId == "<Defender for IoT Alert ID>"
| sort by TimeGenerated desc
アラートの状態または重大度の更新により、SecurityAlert テーブルに新しいレコードがすぐに生成されます。
その他の種類の更新は最大 12 時間にわたって集計され、SecurityAlert テーブルの新しいレコードには最新の変更のみが反映されます。 集計された更新の例を次に示します:
- 同じアラートが複数回検出された場合など、最終検出日時の更新
- 既存のアラートに新しいデバイスが追加される
- アラートのデバイス プロパティが更新される
次のステップ
IoT ソリューション向け Microsoft Defender は、Defender for IoT データ専用に構成され、分析ルール、ブック、プレイブックを含む、バンドルされたすぐに使用できる一連のコンテンツです。