Defender for IoT での OT 監視のためのオンプレミス ユーザーおよびロール
OT ネットワークを操作する場合、Defender for IoT のサービスとデータは、Azure に加えてオンプレミスの OT ネットワーク センサーからも使用できます。
この記事では、次の内容について説明します。
- Defender for IoT ソフトウェアのインストールに付属する既定の特権ユーザーの説明
- 両方の OT ネットワーク センサー上で、各オンプレミス ユーザー ロールで使用できるアクションのリファレンス
重要
現在、Defender for IoT では、中央監視とセンサー管理に Microsoft クラウド サービスまたは既存の IT インフラストラクチャを使用することを推奨しており、2025 年 1 月 1 日にオンプレミス管理コンソールを廃止する予定です。
詳細については、「ハイブリッドまたはエアギャップ OT センサーの管理をデプロイする」を参照してください。
既定の特権オンプレミス ユーザー
既定では、各センサーは CLI などのトラブルシューティングとセットアップのための高度なツールにアクセスできる既定の特権権限を持つ管理者ユーザーと共にインストールされます。
センサーを最初に設定するときは、管理者ユーザーでサインインし、管理者ロールを持つ初期ユーザーを作成してから、その管理者ユーザーを使用して他のロールを持つ他のユーザーを作成します。
詳細については、以下を参照してください:
レガシ ユーザー
| レガシ シナリオ | 説明 |
|---|---|
| 23.2.0 よりも前のバージョンのセンサー | 23.2.0 よりも前のバージョンのセンサーでは、既定の管理者ユーザーは support という名前になります。 サポートユーザーは、23.2.0 より前のバージョンでのみ使用でき、サポートされます。 ドキュメントでは、ソフトウェアの最新バージョンと一致する admin ユーザーを参照しています。 |
| 23.1.x より前のバージョンのセンサー ソフトウェア | 23.1.x より前のバージョンのセンサー ソフトウェアでは、特権ユーザーの cyberx と cyberx_host も使用されています。 新しくインストールされたバージョン 23.1.x 以降では、"cyberx" ユーザーと "cyberx_host" ユーザーを使用できますが、既定では有効になっていません。 これらの追加の特権ユーザーを有効にするには (Defender for IoT CLI を使用する場合など)、そのパスワードを変更します。 詳細については、「センサーへの特権アクセスを回復する」を参照してください。 |
特権ユーザーごとのアクセス
次の表では、レガシ ユーザーを含む各特権ユーザーが使用できるアクセス権について説明します。
| 名前 | [接続先] | アクセス許可 |
|---|---|---|
| admin | OT センサーの configuration shell |
次のアクセス権を持つ強力な管理アカウント。 - すべての CLI コマンド - ログ ファイルを管理する機能 - サービスを開始および停止する このユーザーは、ファイル システムにはアクセスできません。 従来のソフトウェア バージョンでは、このユーザー support という名前になります。 |
| cyberx | OT センサーの terminal (root) |
ルート ユーザーとして機能し、アプライアンスに対する無制限の特権を持ちます。 次のタスクにのみ使用されます。 - 既定のパスワードの変更 - トラブルシューティング - ファイル システムへのアクセス |
| cyberx_host | OT センサーのホスト OS terminal (root) |
ルート ユーザーとして機能し、アプライアンス ホスト OS に対する無制限の特権を持ちます。 次に使用されます。 - ネットワークの構成 - アプリケーション コンテナー制御 - ファイル システムへのアクセス |
オンプレミス ユーザー ロール
OT ネットワーク センサーでは、次のロールを使用できます。
| 役割 | 説明 |
|---|---|
| 管理者 | 管理者ユーザーは、すべてのツール (システム構成、ユーザーの作成と管理などを含む) にアクセスできます。 |
| セキュリティ アナリスト | セキュリティ アナリストには、構成のための管理者レベルのアクセス許可はありませんが、デバイスに対してアクションを実行したり、アラートを確認したり、調査ツールを使用したりできます。 セキュリティ アナリストは、センサーの [検出] と [分析] の各メニューに表示されるセンサーのオプションにアクセスできます。 |
| 読み取り専用 | 読み取り専用ユーザーは、デバイス マップ上にアラートやデバイスを表示するなどのタスクを実行します。 読み取り専用ユーザーは、センサーの [検出] と [分析] の各メニューに表示されるオプションに読み取り専用モードでアクセスできます |
OT 監視システムを初めてデプロイするときは、上記の既定の特権ユーザーのいずれかを使ってセンサーにサインインします。 最初の管理者ユーザーを作成してから、そのユーザーを使用してその他のユーザーを作成し、それらのユーザーをロールに割り当てます。
センサーの各ロールで使用できるアクセス許可については、以下の表を参照してください。
OT ネットワーク センサーのためのロールベースのアクセス許可
| アクセス許可 | [読み取り専用] | セキュリティ アナリスト | [Admin] |
|---|---|---|---|
| ダッシュボードの表示 | ✔ | ✔ | ✔ |
| マップ拡大表示の制御 | - | - | ✔ |
| アラートを表示する | ✔ | ✔ | ✔ |
| アラートの管理: 確認、学習、ミュート | - | ✔ | ✔ |
| タイムラインでのイベントの表示 | ✔ | ✔ | ✔ |
| デバイスの認可、既知のスキャン デバイス、プログラミング デバイス | - | ✔ | ✔ |
| デバイスのマージと削除 | - | - | ✔ |
| 調査データの表示 | ✔ | ✔ | ✔ |
| システム設定の管理 | - | - | ✔ |
| ユーザーの管理 | - | - | ✔ |
| パスワードを変更する | - | - | ✔* |
| 逆引き参照用の DNS サーバー | - | - | ✔ |
| アラート データのパートナーへの送信 | - | ✔ | ✔ |
| アラート コメントの作成 | - | ✔ | ✔ |
| プログラミング変更履歴の表示 | ✔ | ✔ | ✔ |
| カスタマイズしたアラート ルールの作成 | - | ✔ | ✔ |
| 複数の通知の同時管理 | - | ✔ | ✔ |
| 証明書の管理 | - | - | ✔ |
次のステップ
詳細については、次を参照してください。