ネットワーク要件
この記事では、サービスが期待どおりに機能するために、Microsoft Defender for IoT のネットワーク センサー、オンプレミス管理コンソール、デプロイ ワークステーションでアクセスできる必要があるインターフェイスの一覧を示します。
組織のセキュリティ ポリシーで、次の表に示すインターフェイスへのアクセスが許可されていることを確認します。
センサーと管理コンソールへのユーザー アクセス
| プロトコル | トランスポート | /アウトの選択 | Port | 使用 | 目的 | source | 宛先 |
|---|---|---|---|---|---|---|---|
| SSH | TCP | /アウトの選択 | 22 | CLI | CLI にアクセスするため | Client | センサーおよびオンプレミスの管理コンソール |
| HTTPS | TCP | /アウトの選択 | 443 | センサー、オンプレミスの管理コンソール、Web コンソールにアクセスするため | Web コンソールへのアクセス | Client | センサーおよびオンプレミスの管理コンソール |
センサーから Azure portal へのアクセス
| プロトコル | トランスポート | /アウトの選択 | Port | 目的 | source | 宛先 |
|---|---|---|---|---|---|---|
| HTTPS | TCP | アウト | 443 | Azure へのアクセス | Sensor | OT ネットワーク センサーは Azure に接続して、アラート、デバイス データ、センサーの正常性メッセージを提供し、脅威インテリジェンス パッケージにアクセスするなどします。 接続されている Azure サービスには、IoT Hub、Blob Storage、Event Hubs、Microsoft ダウンロード センターが含まれます。 Azure portal の [サイトとセンサー] ページから一覧をダウンロードします。 ソフトウェア バージョン 22.x 以上の OT センサー、またはサポートされているセンサー バージョンが 1 つ以上のサイトを選択します。 次に、[その他のオプション]>[エンドポイント詳細のダウンロード] を選択します。 詳細については、「Azure portal のセンサー管理オプション」を参照してください。 |
センサーからオンプレミスの管理コンソールへのアクセス
| プロトコル | トランスポート | /アウトの選択 | Port | 使用 | 目的 | source | 宛先 |
|---|---|---|---|---|---|---|---|
| NTP | UDP | /アウトの選択 | 123 | 時間同期 | NTP をオンプレミスの管理コンソールに接続します | Sensor | オンプレミスの管理コンソール |
| TLS/SSL | TCP | /アウトの選択 | 443 | センサーからオンプレミスの管理コンソールへのアクセスを許可します。 | センサーとオンプレミスの管理コンソール間の接続 | Sensor | オンプレミスの管理コンソール |
外部サービス向けのその他のファイアウォール規則 (省略可能)
以下のポートを開くと、Defender for IoT の追加サービスを許可できます。
| プロトコル | トランスポート | /アウトの選択 | Port | 使用 | 目的 | source | 宛先 |
|---|---|---|---|---|---|---|---|
| SMTP | TCP | アウト | 25 | アラートとイベントのメールを送信するために、顧客のメール サーバーを開く場合に使用します | センサーおよびオンプレミスの管理コンソール | 電子メール サーバー | |
| DNS | TCP/UDP | /アウトの選択 | 53 | DNS | DNS サーバー ポート | オンプレミスの管理コンソールとセンサー | DNS サーバー |
| HTTP | TCP | アウト | 80 | 証明書のアップロード時に証明書の検証用の CRL をダウンロードします。 | CRL サーバーへのアクセス | センサーおよびオンプレミスの管理コンソール | CRL サーバー |
| WMI | TCP/UDP | アウト | 135、1025-65535 | 監視 | Windows エンドポイント監視 | Sensor | 関連するネットワーク要素 |
| SNMP | UDP | アウト | 161 | 監視 | センサーの正常性を監視します | オンプレミスの管理コンソールとセンサー | SNMP サーバー |
| LDAP | TCP | /アウトの選択 | 389 | Active Directory | アクセス権を持つユーザーの Active Directory 管理を許可し、システムにサインインできるようにします | オンプレミスの管理コンソールとセンサー | LDAP サーバー |
| プロキシ | TCP/UDP | /アウトの選択 | 443 | プロキシ | センサーをプロキシ サーバーに接続するため | オンプレミスの管理コンソールとセンサー | プロキシ サーバー |
| syslog | UDP | アウト | 514 | LEEF | オンプレミスの管理コンソールから Syslog サーバーに送信されるログ | オンプレミスの管理コンソールとセンサー | Syslog サーバー |
| LDAPS | TCP | /アウトの選択 | 636 | Active Directory | アクセス権を持つユーザーの Active Directory 管理を許可し、システムにサインインできるようにします | オンプレミスの管理コンソールとセンサー | LDAPS サーバー |
| トンネリング | TCP | / | 9000 さらにポート 443 センサーまたはエンド ユーザーからオンプレミスの管理コンソールへのアクセスを許可します センサーからオンプレミスの管理コンソールへのポート 22 |
監視 | トンネリング | エンドポイント、センサー | オンプレミスの管理コンソール |
次のステップ
詳細については、「Defender for IoT サイトのデプロイを計画して準備する」を参照してください。