OT アラートの学習したベースラインを作成する
この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明する一連の記事の 1 つであり、OT センサーで学習したトラフィックのベースラインを作成する方法について説明します。
学習モードについて
OT ネットワーク センサーは、ネットワークに接続され、サインインの完了後、ネットワークの監視を自動的に開始します。 ネットワーク デバイスがデバイス インベントリに表示され始め、ネットワークで発生したセキュリティまたは運用上のインシデントに対してアラートがトリガーされます。
最初に、このアクティビティは "学習" モードで行われます。このモードでは、ネットワーク内のデバイスとプロトコルを含むネットワークの通常のアクティビティと、特定のデバイス間で発生する通常のファイル転送を学習するように OT センサーに指示します。 定常的に検出されるアクティビティが、ネットワークのベースライン トラフィックになります。
ヒント
学習モードの時間を使ってアラートをトリアージし、承認された期待されるアクティビティとしてマークするアラートを "学習" します。 学習されたトラフィックについては、次回同じトラフィックが検出されても新しいアラートは生成されません。
学習モードをオフにすると、ベースライン データと異なるアクティビティによってアラートがトリガーされます。
詳細については、「Microsoft Defender for IoT アラート」を参照してください。
学習モードのタイムライン
OT アラートのベースライン作成には、ネットワークのサイズと複雑さに応じて、数日から数週間かかります。 学習モードは、センサーが新しく検出されるトラフィックの減少を検出すると自動的にオフになります。これは通常、デプロイ後 2 から 6 週の間です。
現在のアラートにネットワーク アクティビティが正確に反映されていると思われる場合に、それより前に学習モードを手動でオフにします。
前提条件
この記事の手順は、Azure portal、OT センサー、またはオンプレミスの管理コンソールから実行できます。
開始する前に、以下を用意してください。
セキュリティ アナリストまたは管理者ユーザーとして OT センサーにアクセスできること。 詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。
アラートをトリアージする
デプロイの最後に向けてアラートをトリアージして、ネットワーク アクティビティの初期ベースラインを作成します。
OT センサーにサインインし、[アラート] ページを選択します。
並べ替えとグループ化のオプションを使用して、最も重要なアラートを先頭に表示します。 各アラートを確認して状態を更新し、OT 承認トラフィックのアラートについて学習します。
詳細については、「OT センサーでアラートを表示および管理する」を参照してください。
次のステップ
学習モードがオフになった後、"学習" モードから "運用" モードに移行しました。 次のいずれかに進んでください。
- Azure Monitor ブックを使用して Microsoft Defender for IoT データを視覚化する
- Azure portal からのアラートの表示と管理
- Azure portal でデバイス インベントリを管理する
Defender for IoT データを Microsoft Sentinel と統合して、SOC チームのセキュリティ監視を統合します。 詳細については、次を参照してください。