Defender for IoT - OT 監視ソフトウェアを更新する

この記事では、Defender for IoT センサーの OT ソフトウェアを更新して、更新プログラムを管理し、最新バージョンで最新の状態に保つ方法について説明します。

センサー用に事前構成済みのアプライアンスを購入することも、独自のハードウェア マシンにソフトウェアをインストールすることもできます。 どちらの場合も、OT センサーの新機能を使用するには、ソフトウェア バージョンを更新する必要があります。

詳細については、「どんなアプライアンスが必要ですか?」、「OT 監視用に事前構成された物理アプライアンス」、および OT 監視ソフトウェアのリリース ノートに関するページを参照してください。

注意

更新ファイルは、現在サポートされているバージョンでのみ使用できます。 サポートされなくなったレガシ ソフトウェア バージョンの OT ネットワーク センサーがある場合は、サポート チケットを開いて、更新プログラムの関連ファイルにアクセスします。

前提条件

この記事で説明する手順を実行するには、次の点を確認してください:

• 更新する OT センサーと、使用する更新方法の一覧。 更新する各センサーは、Defender for IoT にオンボードされ、アクティブ化されている必要があります。

  更新シナリオ	メソッドの詳細
  クラウド接続センサー	クラウドに接続されたセンサーは、リモートで更新することも、Azure portal から直接更新することも、ダウンロードした更新プログラム パッケージを使用して手動で更新することもできます。 リモートでの更新では、OT センサーにバージョン 22.2.3 以降が既にインストールされている必要があります。
  ローカル管理センサー	ローカルで管理されているセンサーは、ダウンロードした更新プログラム パッケージを使用して OT センサー コンソールで直接更新できます。

• 必要なアクセス許可:

  • 更新プログラム パッケージをダウンロードするか、Azure portal から更新プログラムをプッシュするには、セキュリティ管理者、共同作成者、または所有者のユーザーとして Azure portal にアクセスする必要があります。

  • OT センサーで更新プログラムを実行するには、管理者ユーザーとしてアクセスする必要があります。

  • CLI を使って OT センサーを更新するには、特権ユーザーとしてセンサーにアクセスする必要があります。

  詳細については、「Defender for IoT の Azure ユーザー ロールとアクセス許可」および「Defender for IoT での OT 監視のためのオンプレミス ユーザーおよびロール」を参照してください。

重要

センサーのバックアップが定期的に実行されていること、特にセンサー ソフトウェアの更新前に実行されたことを、確認することをお勧めします。

詳しくは、「センサー コンソールから OT ネットワーク センサーをバックアップおよび復元する」をご覧ください。

ネットワーク要件を確認する

• お使いのセンサーが Azure データ センターのアドレス範囲に到達できることを確認し、組織が使用している接続方法に必要な追加のリソースを設定します。

  詳細については、「OT センサーのクラウド接続方法」と「OT センサーをクラウドに接続する」を参照してください。

• 更新する新しいバージョンのファイアウォール規則が必要に応じて構成されていることを確認します。

  たとえば、新しいバージョンでは、Azure portal へのセンサー アクセスをサポートするために、新しい、または変更されたファイアウォール規則が必要になる場合があります。 [Sites and sensors](サイトとセンサー) ページで、[その他の操作] > [Download sensor endpoint details](センサー エンドポイントの詳細をダウンロード) を選択して、Azure portal へのアクセスに必要なエンドポイントの完全な一覧を表示します。

  詳細については、「ネットワーク要件」と「Azure portal のセンサー管理オプション」を参照してください。

最新の OT 監視ソフトウェアで OT センサーを更新する

このセクションでは、サポートされているいずれかの方法を使用して Defender for IoT と OT センサーを更新する方法について説明します。

更新プログラム パッケージの送信またはダウンロードと更新プログラムの実行は、2 つの別個の手順になります。 各ステップは、1 つずつ、または異なる時間に実行できます。

たとえば、最初にセンサーに更新プログラムを送信するか、更新プログラム パッケージをダウンロードした後に、管理者に計画メンテナンス期間中にその更新プログラムを実行させることができます。

使用する更新方法を選択します。

Azure portal (プレビュー)

この手順では、ソフトウェア バージョンの更新プログラムを 1 つ以上のサイトの OT センサーに送信し、Azure portal を使ってリモートで更新プログラムを実行する方法について説明します。 個々のセンサーではなく、サイトを選んでセンサーを更新することをお勧めします。

ソフトウェア更新プログラムを OT センサーに送信する

1. Azure portal の Defender for IoT で、[サイトとセンサー] を選びます。

   サイトとセンサー名がわかっている場合は、直接参照または検索できます。または、フィルターを適用すると、必要なサイトを見つけやすくなります。

2. 更新する 1 つ以上のサイトを選び、[センサーの更新]>[リモート更新]>[手順 1: センサーにパッケージを送信する] を選びます。

   1 つ以上の個々のセンサーの場合は、[手順 1: センサーにパッケージを送信する] を選びます。 このオプションは、センサー行の右側にある [...] オプション メニューからも使用できます。

3. 表示された [パッケージを送信する] ペインの [使用可能なバージョン] で、一覧からソフトウェアのバージョンを選びます。 必要なバージョンが表示されない場合は、[表示数を増やす] を選んで、使用できるすべてのバージョンの一覧を表示します。

   新しいバージョンのリリース ノートに移動するには、ペインの上部にある [詳細情報] を選びます。

   ページの下半分には、選んだセンサーとその状態が表示されます。 センサーの状態を確認します。 センサーは、さまざまな理由で更新できない場合があります。たとえば、送信しようとしているバージョンにセンサーが既に更新されている場合や、センサーに問題 (切断されているなど) が発生している場合などです。

   

4. 更新対象のセンサーの一覧を確認した後、[パッケージを送信する] を選ぶと、センサー マシンへのソフトウェアの転送が開始されます。 [センサーのバージョン] 列で転送の進行状況を確認できます。進行状況バーの完了率は自動的に更新されるので、プロセスが開始してから、転送が完了するまでの進行状況を追跡できます。 次に例を示します。

   

   転送が完了すると、[Sensor version] (センサーのバージョン) 列が [更新準備完了] に変わります。

   [Sensor version] (センサーのバージョン) の値をマウスでポイントすると、更新プログラムのソースとターゲットのバージョンが表示されます。

Azure portal からセンサーをインストールする

センサー ソフトウェアの更新プログラムをインストールするには、[センサーのバージョン] 列に [更新準備完了] アイコンが表示されていることを確認します。

1. 更新する 1 つ以上のサイトを選び、ツール バーから [センサーの更新]>[リモート更新]>[手順 2: センサーを更新する] を選びます。 画面の右側に [センサーの更新] ペインが開きます。

   

   個別のセンサーに対して、[手順 2: センサーを更新する] オプションも [...] オプション メニューから選択できます。

2. 表示された [センサーの更新] ペインで、更新プログラムの詳細を確認します。

   準備ができたら、[今すぐ更新]>[更新の確認] を選んで、センサーに更新プログラムをインストールします。 グリッドで、[センサーのバージョン] の値が [インストール中] に変わり、更新の進行状況バーが表示されて完了率が示されます。 バーは自動的に更新されるので、インストールが完了するまで進行状況を追跡できます。

   

   完了すると、センサーの値が新しくインストールされたセンサーのバージョン番号に切り替わります。

何らかの理由でセンサーの更新プログラムのインストールが失敗した場合、ソフトウェアは前にインストールされていたバージョンに戻り、センサーの正常性アラートがトリガーされます。 詳細については、「センサーの正常性について」および「センサー正常性メッセージのリファレンス」を参照してください。

OT センサー UI

この手順では、新しいセンサー ソフトウェア バージョンを手動でダウンロードし、センサー コンソールの UI で直接更新プログラムを実行する方法について説明します。

Azure portal から更新プログラム パッケージをダウンロードする

1. Azure portal の Defender for IoT で、[サイトとセンサー]>[センサーの更新 (プレビュー)] を選びます。

2. [ローカル更新] ウィンドウで、センサーに現在インストールされているソフトウェア バージョンを選択します。

3. [ローカル更新] ウィンドウの [利用可能なバージョン] 領域で、ソフトウェア更新プログラムのダウンロードするバージョンを選択します。

   利用可能なバージョン 領域には、特定の更新シナリオで使用できるすべての更新プログラム パッケージが一覧表示されます。 複数のオプションがある場合がありますが、1 つの特定のバージョンが [推奨] としてマークされます。 次に例を示します。

   

4. [ローカル更新] ウィンドウでさらに下にスクロールし、[ダウンロード] を選択して更新プログラム パッケージをダウンロードします。

   更新プログラム パッケージは、sensor-secured-patcher-<Version number>.tar のファイル構文名でダウンロードされます。ここで、version number は更新先のバージョンを表します。

   Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されているため、マシンは署名された資産のみを使用します。

センサー UI から OT センサー ソフトウェアを更新する

1. OT センサーにサインインして、[システム設定]>[センサー管理]>[ソフトウェア更新] の順に選択します。

2. 右側の [ソフトウェア更新] ウィンドウで、[ファイルのアップロード] を選択し、ダウンロードした更新プログラム パッケージを選択します。

   

   更新プロセスが開始します。これには約 30 分かかる場合があり、1 または 2 回の再起動が含まれます。 マシンが再起動した場合は、プロンプトに従って、もう一度サインインしてください。

OT センサー CLI

この手順では、OT センサーで直接、CLI を使用して OT センサー ソフトウェアを更新する方法について説明します。

Azure portal から更新プログラム パッケージをダウンロードする

1. Azure portal の Defender for IoT で、[サイトとセンサー]>[センサーの更新 (プレビュー)] を選びます。

2. [ローカル更新] ウィンドウで、センサーに現在インストールされているソフトウェア バージョンを選択します。

3. [ローカル更新] ウィンドウの [利用可能なバージョン] 領域で、ソフトウェア更新プログラムのダウンロードするバージョンを選択します。

   利用可能なバージョン 領域には、特定の更新シナリオで使用できるすべての更新プログラム パッケージが一覧表示されます。 複数のオプションがある場合がありますが、常に 1 つの特定のバージョンが [推奨] としてマークされます。 次に例を示します。

   

4. [ローカル更新] ウィンドウでさらに下にスクロールし、[ダウンロード] を選択してソフトウェア ファイルをダウンロードします。

   更新プログラム パッケージは、sensor-secured-patcher-<Version number>.tar のファイル構文名でダウンロードされます。ここで、version number は更新先のバージョンを表します。

Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されているため、マシンは署名された資産のみを使用します。

CLI を使ってセンサー ソフトウェアを直接更新する

1. SFTP または SCP を使用して、Azure portal からダウンロードした更新プログラム パッケージを OT センサーのマシンにコピーします。

2. センサーに cyberx_host ユーザーとしてサインインし、更新プロセスでアクセスできる場所に更新プログラム ファイルをコピーします。 次に例を示します。

   cd /var/host-logs/ 
   mv <filename> /var/cyberx/media/device-info/update_agent.tar
   

3. センサーに cyberx ユーザーとしてサインインし、ソフトウェア更新プログラムの実行を開始します。 実行 (Run):

   curl -H "X-Auth-Token: $(python3 -c 'from cyberx.credentials.credentials_wrapper import CredentialsWrapper;creds_wrapper = CredentialsWrapper();print(creds_wrapper.get("api.token"))')" -X POST http://127.0.0.1:9090/core/api/v1/configuration/agent
   

   更新プロセス中のある時点で、SSH 接続が切断されます。 これは、更新プログラムが実行されていることを示しています。

4. install.log ファイルを確認して、引き続き更新プロセスを監視します。

   センサーに cyberx_host ユーザーとしてもう一度サインインし、次を実行します。

   tail -f /opt/sensor/logs/install.log
   

更新が成功したことを確認する

更新プロセスが正常に完了したことを確認するには、次の場所にあるセンサーのバージョンが新しいバージョン番号であることを確認します。

• Azure portal の [サイトとセンサー] ページの [センサーのバージョン] 列

• OT センサー コンソールの場合:

  • タイトル バー
  • [概要] ページ >[一般設定] 領域
  • [システム設定]>[センサー管理]>[ソフトウェアの更新] ウィンドウ

アップグレードのログ ファイルは、/opt/sensor/logs/legacy-upgrade.log の OT センサー マシンにあり、SSH 経由で cyberx_host ユーザーがアクセスできます。

次のステップ

詳細については、次を参照してください。

• Azure portal で Defender for IoT を使用してセンサーを管理する
• 個々の OT センサーを管理する
• センサーのトラブルシューティングを行う