OT アラートの学習したベースラインを作成する
この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明する一連の記事の 1 つであり、OT センサーで学習したトラフィックのベースラインを作成する方法について説明します。
マルチステージ監視プロセスの概要
OT ネットワーク センサーは、お使いのネットワークへの接続とサインインが済むと、自動的にそのネットワークの監視を開始します。 ネットワーク デバイスがデバイス インベントリに表示され始め、ネットワークで発生したセキュリティまたは運用上のインシデントに対してアラートがトリガーされます。
Defender for IoT には、3 段階のステージに分かれた機能する監視プロセスによってネットワーク トラフィックの通常の挙動を学習するしくみが採用されています。 また、この 3 ステージのプロセスにより、不要なアラートの発生を抑えながら正確な検出を実現できます。
監視の各ステージの概要
| モード | パーパス | アラートのトリガー | 必要なユーザー操作 |
|---|---|---|---|
| 学習 | 通常のネットワーク トラフィックのベースラインを学習する | マルウェア アラート、異常アラート、運用アラート、プロトコル違反アラート | 2 - 6 週間後、または、正確なネットワーク アクティビティを表すベースラインが確立されたら、手動でオフにする |
| 動的 | ベースラインの精度を上げながらポリシー違反アラートを徐々に導入することで、余分なアラートによるノイズを抑えながら正確性を確保する | ポリシー違反アラートの導入 | オプション: 具体的なシナリオ (例: 概念実証など) に合わせて設定を調整する |
| 運用時 | 安定したベースラインに基づいて、すべてのネットワーク トラフィックを監視し、逸脱や疑わしい挙動を示すすべてのアラートをトリガーする | すべての種類のアラート | なし。 ベースラインが安定すると自動的に遷移する |
学習モード
センサーは、当初は "学習" モードで動作してすべてのネットワーク トラフィックを監視し、平常時のすべてのトラフィック パターンに対応するベースラインを学習します。 このベースラインには、そのネットワーク内で使われるすべてのデバイスおよびプロトコルと、デバイス間で発生する通常のファイル転送が含まれます。 このプロセスの所要期間は、ネットワークのサイズと複雑さにもよりますが、通常 2 - 6 週間程度です。 さらに、後からデバイスが検出されると、それらのデバイスは学習モードに切り替わって 7 日間動作し、ネットワーク トラフィックのベースラインを確立します。
学習モードで動作中のセンサーは、お使いの環境を監視し、関係するセキュリティ アラート (マルウェア、異常、運用アラートなど) をトリガーして保護します。 ただし、ポリシー違反アラート (ベースラインからの逸脱を示す) は、学習モードでの動作中はトリガーされません。
動的モード
検出プロセスとネットワークトラフィックが安定した後は、学習モードを手動でオフにします。 これによって、センサーは動的モードに切り替わります。 動的モードに移行したセンサーは、引き続きネットワークを監視し、ベースラインの検証と調整を行います。 センサーは個々のアラート カテゴリとシナリオを評価し、ベースラインの正確性が確認された場合は、それらのカテゴリやシナリオを動的に運用モードへと変更します。 一方、トラフィックの大幅な変化が検出された場合は、特定のアラートまたはシナリオに関して学習モードを自動的に延長することがあります。
動的モードで、ポリシー違反アラートが徐々に導入され、アラート インベントリに表示されるようになります。
操作モード
ベースラインが安定して完成されたと判定すると、センサーは自動的に運用モードへ移行し、すべてのネットワーク トラフィックを監視してすべてのアラート タイプをトリガーするようになります。
学習モードがオフになり、シナリオが運用モードに移行した後で、特定の操作を許可済みアクティビティや想定済みアクティビティとしてマークするときは、[学習] アクションを使用します。 一度学習させると、以後、同様のアクティビティでは新しいアラートが生成されなくなります。
アラートのレベルがネットワーク アクティビティを正確に反映している場合は、学習モードを手動でオフにします。
詳細については、「Microsoft Defender for IoT アラート」を参照してください。
前提条件
この記事の手順は、Azure portal または OT センサーから実行できます。
開始する前に、以下を用意してください。
OT センサーのインストール、構成、アクティブ化が済んだ後、検出されたトラフィックによってアラートがトリガーされた状態。
セキュリティ アナリストまたは管理者ユーザーとして OT センサーにアクセスできること。 詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。
アラートをトリアージする
デプロイの最後に向けてアラートをトリアージして、ネットワーク アクティビティの初期ベースラインを作成します。
OT センサーにサインインし、[アラート] ページを選択します。
並べ替えとグループ化のオプションを使用して、最も重要なアラートを先頭に表示します。 各アラートを確認して状態を更新し、OT 承認トラフィックのアラートについて学習します。
詳細については、「OT センサーでアラートを表示および管理する」を参照してください。
次のステップ
学習モードがオフになり、学習モードから運用モードに移行した後、以下のいずれかに従って使用を継続します。
- Azure Monitor ブックを使用して Microsoft Defender for IoT データを視覚化する
- Azure portal からのアラートの表示と管理
- Azure portal でデバイス インベントリを管理する
Defender for IoT データを Microsoft Sentinel と統合して、SOC チームのセキュリティ監視を統合します。 詳細については、次を参照してください。