オンプレミスの管理コンソール (レガシ) からセンサーを管理する
重要
現在、Defender for IoT では、中央監視とセンサー管理に Microsoft クラウド サービスまたは既存の IT インフラストラクチャを使用することを推奨しており、2025 年 1 月 1 日にオンプレミス管理コンソールを廃止する予定です。
詳細については、「ハイブリッドまたはエアギャップ OT センサーの管理をデプロイする」を参照してください。
この記事では、ネットワーク全体でシステム設定を OT センサーにプッシュするなど、オンプレミス管理コンソールから OT センサーを管理する方法について説明します。
前提条件
この記事の手順を実行する前に、次の条件を満たしていることを確認してください。
1 つ以上の OT ネットワーク センサーがインストールされ、アクティブ化され、オンプレミス管理コンソールに接続されていること
管理者ユーザーとしてのオンプレミス管理コンソールへのアクセス権。 詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。
オンプレミス管理コンソールからセンサーを更新する
この手順では、レガシのオンプレミス管理コンソールから複数の OT センサーを同時に更新する方法について説明します。
重要
ローカルで管理されている複数の OT センサーを更新する場合は、接続されているセンサーを更新する "前に" 必ずオンプレミス管理コンソールを更新してください。
オンプレミス管理コンソールのソフトウェア バージョンは、最新のセンサー バージョンと同じである必要があります。 オンプレミス管理コンソールの各バージョンは、サポートされている以前のバージョンのセンサーと下位互換性がありますが、新しいセンサー バージョンに接続することはできません。
Azure portal から更新プログラム パッケージをダウンロードする
Azure portal の Defender for IoT で、[サイトとセンサー]>[センサーの更新 (プレビュー)] を選びます。
[ローカル更新] ウィンドウで、センサーに現在インストールされているソフトウェア バージョンを選択します。
[ローカル マネージャーを使用して更新しますか] オプションを選択し、オンプレミス管理コンソールに現在インストールされているソフトウェア バージョンを選択します。
[ローカル更新] ウィンドウの [利用可能なバージョン] 領域で、ソフトウェア更新プログラムのダウンロードするバージョンを選択します。
利用可能なバージョン 領域には、特定の更新シナリオで使用できるすべての更新プログラム パッケージが一覧表示されます。 複数のオプションがある場合がありますが、常に 1 つの特定のバージョンが [推奨] としてマークされます。 次に例を示します。
[ローカル更新] ウィンドウでさらに下にスクロールし、[ダウンロード] を選択してソフトウェア ファイルをダウンロードします。
[ローカル マネージャーを使用して更新しますか] オプションを選択した場合は、オンプレミス管理コンソールとセンサーの両方のファイルが一覧表示されます。 次に例を示します。
更新プログラム パッケージは、次のファイル構文名でダウンロードされます。
sensor-secured-patcher-<Version number>.tar
(OT センサーの更新用)management-secured-patcher-<Version number>.tar
(オンプレミス管理コンソールの更新用)
ここで、
<version number>
は更新先のソフトウェア バージョン番号を表します。
Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されているため、マシンは署名された資産のみを使用します。
オンプレミス管理コンソールを更新する
オンプレミス管理コンソールにサインインし、[システム設定]>[バージョンの更新] の順に選択します。
[ファイルのアップロード] ダイアログで、[ファイルの参照] を選んでから、Azure portal からダウンロードした更新プログラム パッケージを参照して選びます。
更新プロセスが開始されますが、30 分ほどかかる場合があります。 アップグレード中に、システムが 2 回再起動されます。
求められたらサインインし、左下隅に表示されているバージョン番号を確認して、新しいバージョンが一覧表示されていることを確認します。
オンプレミス管理コンソールから OT センサーを更新する
オンプレミス管理コンソールにサインインし、[システム設定] を選び、更新するセンサーを特定します。
更新するセンサーに対して、[自動バージョン更新] オプションが選択されていることを確認します。
また、更新 "しない" センサーが選択されて "いない" ことも確認します。
更新するセンサーの選択が完了したら、変更を保存します。 次に例を示します。
重要
[自動バージョン更新] オプションが赤色の場合、更新プログラムの競合が発生しています。 自動更新用にマークされたセンサーが複数あり、センサーに現在異なるソフトウェア バージョンがインストールされている場合、更新プログラムの競合が発生する可能性があります。 [自動バージョン更新] オプションを選択し、競合を解決します。
下にスクロールし、右側の [センサーのバージョン更新] ボックスで + を選びます。 Azure portal からダウンロードした更新プログラム ファイルを参照して選びます。
自動更新用に選択された各センサーで更新の実行が開始されます。
[サイト管理] ページに移動して、各センサーの更新の状態と進行状況を表示します。
更新が失敗した場合は、エラー ログをダウンロードするオプションを含む再試行オプションが表示されます。 更新プロセスを再試行するか、ダウンロードしたログ ファイルを含むサポート チケットを開いて支援を求めます。
システム設定を OT センサーにプッシュする
他の OT センサーと共有するシステム設定で OT センサーが既に構成されている場合は、それらの設定をオンプレミス管理コンソールからプッシュします。 OT センサー間でシステム設定を共有すると、時間が節約され、システム全体の設定が効率化されます。
次の設定がサポートされます。
- メール サーバーの設定
- SNMP MIB の監視設定
- Active Directory の設定
- DNS 逆引き参照設定
- サブネット設定
- ポート エイリアス
OT センサー間でシステム設定をプッシュするには:
オンプレミス管理コンソールにサインインし、[システム設定] を選択します。
下にスクロールして [センサーの構成] 領域を表示し、OT センサー全体にプッシュする設定を選択します。
[編集...構成] ダイアログで、設定を共有する "元" の OT センサーを選択します。 ダイアログには、選択したセンサーに定義された現在の設定が表示されます。
現在の設定がシステム全体で共有する設定であることを確認し、[複製] を選択します。
[保存] を選択して変更を保存します。
選択した設定は、接続されているすべての OT センサーに適用されます。
切断された OT センサーを監視する
ローカル管理の OT ネットワーク センサーとオンプレミス管理コンソールを使用している場合は、オンプレミス管理コンソールから切断された OT センサーに関するアラートをパートナー サービスに転送することをお勧めします。
OT センサーの接続状態を表示する
オンプレミス管理コンソールにサインインし、[サイト管理] を選択して、切断されたセンサーがないかを確認します。
たとえば、次のいずれかの切断メッセージが表示されることがあります。
オンプレミス管理コンソールでは、センサーから受信したデータを処理できません。
時間のずれが検出されました。 オンプレミス管理コンソールはセンサーから切断されています。
センサーがオンプレミス管理コンソールと通信していません。 ネットワーク接続または証明書の検証を調べてください。
ヒント
オンプレミス管理コンソールの OT センサーの接続状態に関するアラートをパートナー サービスに送信できます。
これを行うには、オンプレミス管理コンソールで転送アラート ルールを作成します。 [転送ルールの作成] ダイアログ ボックスで、必ず [システム通知の報告] を選択します。
センサーに格納されているフォレンジクス データを取得する
OT ネットワーク センサーで Defender for IoT データ マイニング レポートを使用して、そのセンサーのストレージからフォレンジック データを取得します。 次の種類のフォレンジクス データは、そのセンサーによって検出されたデバイスの OT センサーにローカルに格納されます。
- デバイス データ
- アラート データ
- アラート PCAP ファイル
- イベント タイムライン データ
- ログ ファイル
データの種類ごとに保持期間と最大容量が異なります。 詳細については、「データ マイニング クエリの作成」と「Microsoft Defender for IoT 全体のデータ保持」を参照してください。
オンプレミス管理コンソールから学習モードをオフにする
Microsoft Defender for IoT の OT ネットワーク センサーは、ネットワークに接続され、ユーザーがサインインするとすぐに自動的にネットワークの監視を開始します。 ネットワーク デバイスがデバイス インベントリに表示されるようになり、ネットワークで発生したセキュリティまたは運用上のインシデントに対してアラートがトリガーされます。
最初に、このアクティビティは "学習" モードで行われます。このモードでは、ネットワーク内のデバイスとプロトコルを含むネットワークの通常のアクティビティと、特定のデバイス間で発生する通常のファイル転送を学習するように OT センサーが指示されます。 定期的に検出されたアクティビティは、ネットワークのベースライン トラフィックになります。
この手順では、現在のアラートにネットワーク アクティビティが正確に反映されていると思われる場合に、接続されているすべてのセンサーの学習モードを手動でオフにする方法について説明します。
学習モードをオフにする:
オンプレミス管理コンソールにサインインし、[システム設定] を選択します。
[センサー エンジンの構成] セクションで、設定を適用する OT センサーを 1 つ以上選択し、[学習モード] オプションをオフにします。
[変更の保存] を選択して変更を保存します。
次のステップ
詳細については、次を参照してください。