Enterprise IoT ネットワーク センサーを使用して Enterprise IoT デバイスを検出する (パブリック プレビュー)
重要
この記事の説明に従って、新しい Enterprise IoT ネットワーク センサーを登録することはできなくなりました。 Azure 従量課金収益 (ACR) またはレガシ ライセンスをお持ちのお客様のために、Defender for IoT では既存の Enterprise IoT ネットワーク センサーが維持されます。
この記事では、Microsoft Defender for IoT で Enterprise IoT ネットワーク センサーを登録する方法について説明します。
Enterprise IoT ネットワーク センサーをお使いの Microsoft Defender XDR のお客様は、Microsoft Defender XDR または Defender for IoT の [デバイス インベントリ] で、検出されたすべてのデバイスを確認できます。 また、新しく検出されたデバイスについての Microsoft Defender XDR での多くのアラート、脆弱性、推奨事項から、追加のセキュリティ値が表示されます。
Azure portal でのみ作業している Defender for IoT のお客様の場合、Enterprise IoT ネットワーク センサーでは、ボイス オーバー IP (VoIP) デバイス、プリンター、カメラなど、OT ネットワーク センサーの対象にならない場合がある Enterprise IoT デバイスに対して特別なデバイス可視性が提供されます。
Enterprise IoT センサーによって検出されたデバイスの Defender for IoT アラートと推奨事項は、Azure portal でのみ使用できます。
詳細については、「企業での IoT デバイスのセキュリティ保護」を参照してください。
重要
Enterprise IoT ネットワーク センサーは現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
前提条件
このセクションでは、Enterprise IoT ネットワーク センサーをデプロイする前に必要な前提条件について説明します。
Azure の要件
デバイス、アラート、推奨事項、脆弱性など、Microsoft Defender XDR で Defender for IoT のデータを表示するには、Microsoft Defender XDR で Enterprise IoT セキュリティを有効にしておく必要があります。
Azure portal でデータを表示するだけの場合、Microsoft Defender XDR は必要ありません。 また、ネットワーク センサーを登録した後、Microsoft Defender XDR で Enterprise IoT セキュリティを有効にして、追加のデバイス可視性とセキュリティ値を組織に提供することもできます。
セキュリティ管理者、共同作成者、または所有者ユーザーとして Azure portal にアクセスできることを確認します。 Azure アカウントをまだお持ちではない場合は、今すぐ無料の Azure アカウントを作成できます。
ネットワークの要件
監視するデバイスとサブネットを特定して、Enterprise IoT センサーをネットワーク内のどこに配置するかを理解します。 複数の Enterprise IoT センサーをデプロイできます。
監視するトラフィックが Enterprise IoT センサーにミラーリングされるように、ネットワークでトラフィック ミラーリングを構成します。 サポートされているトラフィック ミラーリングの方法は、OT 監視の場合と同じです。 詳細については、「トラフィック監視用のトラフィック ミラーリング方法を選ぶ」を参照してください。
物理マシンまたは仮想マシンの要件
ネットワーク センサーとして使用する物理アプライアンスまたは仮想マシン (VM) を割り当てます。 お使いのコンピューターに次の仕様があることを確認します。
レベル | 要件 |
---|---|
最小 | 最大 1 Gbps のデータをサポートするには、次のようにします。 - 4 CPU、それぞれ 2.4 GHz 以上 - DDR4 以上の 16 GB RAM - 250 GB HDD |
推奨 | 最大 15 Gbps のデータをサポートするには、次のようにします。 - 8 CPU、それぞれ 2.4 GHz 以上 - DDR4 以上の 32 GB RAM - 500 GB HDD |
お使いのコンピューターには次のものも必要です。
Ubuntu 18.04 Server オペレーティング システム。 Ubuntu がまだインストールされていない場合は、DVD やディスクオンキーなどの外部ストレージにインストール ファイルをダウンロードし、アプライアンスまたは VM にインストールします。 詳細については、Ubuntu イメージ 書き込みガイドを参照してください。
ネットワーク アダプター、スイッチ監視 (SPAN) ポート用に少なくとも 1 つ、センサーのユーザー インターフェイスにアクセスするための管理ポート用に 1 つ
Enterprise IoT センサーは、直接接続を使用して Azure クラウドにアクセスできる必要があります。 直接接続は、OT センサーの場合と同じ手順を使用して、Enterprise IoT センサー用に構成されます。 詳細については、クラウド管理用のセンサーのプロビジョニングに関するページを参照してください。
物理アプライアンスまたは VM を準備する
この手順では、Enterprise IoT ネットワーク センサー ソフトウェアをインストールするために、物理アプライアンスまたは VM を準備する方法について説明します。
アプライアンスを準備するには:
次のように、物理アプライアンスまたは VM からスイッチにネットワーク インターフェイス (NIC) を接続します。
物理アプライアンス - 銅線またはファイバー ケーブルを使用して、監視 NIC を SPAN ポートに直接接続します。
VM - vNIC を vSwitch に接続し、 Promiscuous モードを受け入れるように vSwitch セキュリティ設定を構成します。 詳細については、例えば仮想アプライアンスの SPAN 監視インターフェイスの設定を参照してください。
物理アプライアンスまたは VM にサインインし、次のコマンドを実行して、監視ポートへの受信トラフィックを検証します。
ifconfig
監視されているすべてのインターフェイスのリストが表示されます。
監視するインターフェイス (通常は IP アドレスがリストに含まれていないインターフェイス) を特定します。 受信トラフィックを含むインターフェイスでは、RX パケットの数が増えます。
監視するインターフェイスごとに、次のコマンドを実行して、ネットワーク アダプターで "Promiscuous モード" を有効にします。
ifconfig <monitoring port> up promisc
<monitoring port>
のある場所が、監視するインターフェイスです。 監視する各インターフェイスに対してこのステップを繰り返します。ファイアウォールで次のポートを開いて、ネットワーク接続を確保します。
プロトコル トランスポート /アウトの選択 Port 目的 HTTPS TCP /アウトの選択 443 クラウド接続 DNS TCP/UDP /アウトの選択 53 アドレス解決 次の Microsoft エンドポイントに対し、物理アプライアンスまたは VM がポート 443 の HTTPS を使用してクラウドにアクセスできることを確認します。
- EventHub:
*.servicebus.windows.net
- Storage:
*.blob.core.windows.net
- ダウンロード センター:
download.microsoft.com
- IoT Hub:
*.azure-devices.net
ヒント
また、ダウンロードして Azure パブリック IP 範囲をファイアウォールに追加すると、上記で指定した Azure エンドポイントとそのリージョンが許可されます。
Azure パブリック IP の範囲は毎週更新されます。 ファイルに含まれている新しい範囲は、少なくとも 1 週間は Azure で使用されません。 このオプションを使用するには、Azure で実行されているサービスを正しく識別するために、毎週新しい json ファイルをダウンロードし、サイトで必要な変更を実行してください。
- EventHub:
Defender for IoT で Enterprise IoT センサーを登録する
このセクションでは、Defender for IoT で Enterprise IoT センサーを登録する方法について説明します。 センサーの登録が完了したら、引き続きセンサー マシンに Enterprise IoT 監視ソフトウェアをインストールします。
Azure portal でセンサーを登録するには:
[Defender for IoT]>[Sites and sensors] (サイトとセンサー) に移動し、[Onboard sensor] (センサーのオンボード)>[EIoT] を選択します。
[エンタープライズ IoT セキュリティの設定] ページで、次の詳細を入力し、[レジスタ] を選択します。
- [センサー名] フィールドで、センサーのわかりやすい名前を入力します。
- [サブスクリプション] ドロップダウン メニューから、センサーを追加するサブスクリプションを選択します。
[センサーが正常に登録されました] 画面に、次の手順と、センサーのインストールを開始するために必要なコマンドが表示されます。
次に例を示します。
コマンドを安全な場所にコピーします。それを、センサー ソフトウェアをインストールするために物理アプライアンスまたは VM にコピーできます。
Enterprise IoT センサー ソフトウェアをインストールする
この手順では、物理アプライアンスまたは VM のいずれかのセンサー マシンに Enterprise IoT 監視ソフトウェアをインストールする方法について説明します。
注意
この手順では、ESXi を使用して VM にセンサー ソフトウェアをインストールする方法について説明しますが、エンタープライズ IoT センサーでは Hyper-V の使用もサポートされます。
センサー ソフトウェアをインストールするには:
センサー マシンで、PuTTY や MobaXterm などのターミナルを使用してセンサーの CLI にサインインします。
センサー登録手順からコピーしたコマンドを実行します。 次に例を示します。
プロセスでは、必要な Docker バージョンが既にインストールされているかどうかを確認します。 そうでない場合は、センサーのインストールによって最新の Docker バージョンもインストールされます。
コマンド プロセスが完了すると、Ubuntu Microsoft-eiot-sensor の構成 ウィザードが表示されます。 このウィザードでは、上矢印または下矢印を使って移動し、スペース バーでオプションを選びます。 Enter キーを押して、次の画面に進んでください。
[microsoft-eiot-sensor の設定] ウィザードの [モニター対象インターフェイスの名前は何ですか?] スクリーンで、センサーで監視するインターフェースを 1 つ以上選択し、OK を選択します。
次に例を示します。
[プロキシ サーバーの設定?] スクリーンで、センサーのプロキシ サーバーを設定するかどうかを選択します。 次に例を示します。
プロキシ サーバーを設定する場合は、[はい] を選択し、プロキシ サーバーのホスト、ポート、ユーザー名、パスワードを定義し、各オプションの後で [OK] を選択します。
このインストールは、完了するまでに数分かかります。
Azure portal で、[サイトとセンサー] ページに新しいセンサーがリスト表示されていることを確認します。
次に例を示します。
[サイトとセンサー] ページでは、Enterprise IoT センサーはすべて、"Enterprise ネットワーク" という名前の同じサイトに自動的に追加されます。 詳細については、「Azure portal で Defender for IoT を使用してセンサーを管理する」を参照してください。
ヒント
予想どおりに Defender for IoT にエンタープライズ IoT データが表示されない場合は、正しいサブスクリプションが選択された Azure portal が表示されていることを確認してください。 詳しくは、「Azure portal の設定」に関する記事を参照してください。
データが期待どおりに表示されない場合は、CLI から センサーのセットアップを検証します。
新しく検出された Enterprise IoT デバイスを表示する
セットアップを検証すると、15 分後に Defender for IoT の [デバイス インベントリ] ページでは、センサーによって検出された新しいデバイスの設定が開始されます。
従来の Enterprise IoT プランをお使いの Defender for Endpoint のお客様は、Defender for IoT と Microsoft Defender XDR の両方の [デバイス インベントリ] ページで、検出されたすべてのデバイスを確認できます。 検出されたデバイスには、Defender for Endpoint によって検出されたデバイスと、Enterprise IoT センサーによって検出されたデバイスの両方が含まれます。
詳細については、Azure portal からのデバイス インベントリの管理および Microsoft Defender XDR のデバイス検出に関する記事を参照してください。
Enterprise IoT ネットワーク センサーを削除する
Defender for IoT でセンサーが使用されなくなった場合は、センサーを削除します。
Microsoft Azure portal の [サイトとセンサー] ページで、グリッド内のセンサーを見つけます。
センサーの行で、[...] オプション メニュー >[センサーの削除] の順に選択します。
詳細については、「Azure portal で Defender for IoT を使用してセンサーを管理する」を参照してください。
ヒント
CLI からセンサーを手動で削除することもできます。 詳細については、「Enterprise IoT デプロイの追加の手順とサンプル」を参照してください。
Microsoft Defender XDR での Enterprise IoT セキュリティを取り消したい場合は、Microsoft Defender ポータルから行ってください。 詳細については、「Enterprise IoT セキュリティをオフにする」を参照してください。