ユーザー アクティビティを監査する
Azure portal のユーザー アクセスを設定したら、OT ネットワーク センサーとオンプレミス管理コンソールで、すべての Microsoft Defender for IoT にわたるユーザー アクティビティを追跡および監査できるようにする必要があります。
Azure ユーザー アクティビティを監査する
Microsoft Entra ユーザー監査リソースを使用して、Defender for IoT 全体の Azure ユーザー アクティビティを監査します。 詳細については、以下を参照してください:
OT ネットワーク センサーでユーザー アクティビティを監査する
センサーのイベント タイムラインでユーザー アクティビティを監査および追跡します。 イベント タイムラインには、センサーで発生したイベント、各イベントの影響を受けたデバイス、イベントが発生した日時が表示されます。
Note
この手順は、既定の特権 "管理者" ユーザーと、管理者 ロールを持つユーザーに対してサポートされます。
センサーのイベント タイムラインを使用するには:
既定の特権 "管理者" ユーザー、または管理者ロールを持つユーザーとしてセンサー コンソールにサインインします。
センサーで、左側のメニューから [イベント タイムライン] を選択します。 フィルターが [ユーザー操作] を表示するように設定されていることを確認します。
次に例を示します。
追加のフィルターを使用するか、Ctrl + F を使用して検索することで目的の情報を見つけます。
イベント タイムラインの詳細については、イベント タイムラインでネットワークとセンサーのアクティビティを追跡する方法に関する記事を参照してください
オンプレミス管理コンソールでユーザー アクティビティを監査する
重要
現在、Defender for IoT では、中央監視とセンサー管理に Microsoft クラウド サービスまたは既存の IT インフラストラクチャを使用することを推奨しており、2025 年 1 月 1 日にオンプレミス管理コンソールを廃止する予定です。
詳細については、「ハイブリッドまたはエアギャップ OT センサーの管理をデプロイする」を参照してください。
オンプレミス管理コンソールでユーザー アクティビティを監査および追跡するには、発生時に主要なアクティビティ データを記録するオンプレミス管理コンソールの監査ログを使用します。 オンプレミス管理コンソールの監査ログを使用して、オンプレミス管理コンソールで行われた変更、時期、行ったユーザーを把握します。
オンプレミス管理コンソールの監査ログにアクセスするには:
オンプレミス管理コンソールにサインインし、[システム設定]>[システム統計情報]>[監査ログ] を選択します。
現在アクティブな監査ログのデータが、ダイアログに表示されます。 次に例を示します。
次に例を示します。
10 MB ごとに新しい監査ログが生成されます。 現在のアクティブなログ ファイルに加えて、1 つ前のログが格納されます。
監査ログには、次のデータが含まれます。
| アクション | ログに記録された情報 |
|---|---|
| アラートの詳細と修復 | アラート ID |
| パスワードの変更 | ユーザー、ユーザー ID |
| Login | ユーザー |
| ユーザーの作成 | ユーザー、ユーザー ロール |
| パスワードのリセット | ユーザー名 |
| 除外ルール - 作成 | ルールの概要 |
| 除外ルール - 編集 | ルール ID、ルールの概要 |
| 除外ルール - 削除 | ルールの ID |
| 管理コンソールのアップグレード | 使用されるアップグレード ファイル |
| センサーのアップグレードの再試行 | センサー ID |
| アップロードされた TI パッケージ | 追加で記録される情報はありません。 |
ヒント
追加のトラブルシューティングのために、監査ログをエクスポートしてサポート チームに送信することもできます。 詳細については、「トラブルシューティングのためにオンプレミス管理コンソールからログをエクスポートする」を参照してください。
次のステップ
詳細については、次を参照してください。