ネットワーク要件
この記事では、Microsoft Defender for IoT ネットワーク センサーでアクセスできる必要があるインターフェイスと、サービスが期待どおりに機能するために展開ワークステーションを示します。
組織のセキュリティ ポリシーで、次の表に示すインターフェイスへのアクセスが許可されていることを確認します。
センサーへのユーザー アクセス
| プロトコル | トランスポート | /アウトの選択 | Port | 使用 | 目的 | source | 宛先 |
|---|---|---|---|---|---|---|---|
| SSH | TCP | /アウトの選択 | 22 | CLI | CLI にアクセスするため | クライアント | センサー |
| HTTPS | TCP | /アウトの選択 | 443 | センサーにアクセスするには | Web コンソールへのアクセス | クライアント | センサー |
センサーから Azure portal へのアクセス
| プロトコル | トランスポート | /アウトの選択 | Port | 目的 | source | 宛先 |
|---|---|---|---|---|---|---|
| HTTPS | TCP | アウト | 443 | Azure へのアクセス | Sensor | OT ネットワーク センサーは Azure に接続して、アラート、デバイス データ、センサーの正常性メッセージを提供し、脅威インテリジェンス パッケージにアクセスするなどします。 接続されている Azure サービスには、IoT Hub、Blob Storage、Event Hubs、Microsoft ダウンロード センターが含まれます。 Azure portal の [サイトとセンサー] ページから一覧をダウンロードします。 ソフトウェア バージョン 22.x 以上の OT センサー、またはサポートされているセンサー バージョンが 1 つ以上のサイトを選択します。 次に、[その他のオプション]>[エンドポイント詳細のダウンロード] を選択します。 詳細については、「Azure portal のセンサー管理オプション」を参照してください。 |
OT センサーへのセンサー アクセス
| プロトコル | トランスポート | /アウトの選択 | Port | 使用 | 目的 | source | 宛先 |
|---|---|---|---|---|---|---|---|
| NTP | UDP | /アウトの選択 | 123 | 時間同期 | NTP を OT センサーに接続します | センサー | OT センサー |
| TLS/SSL | TCP | /アウトの選択 | 443 | センサーに OT センサーへのアクセス権を付与する | センサーと OT センサーの間の接続 | センサー | OT センサー |
外部サービス向けのその他のファイアウォール規則 (省略可能)
以下のポートを開くと、Defender for IoT の追加サービスを許可できます。
| プロトコル | トランスポート | /アウトの選択 | Port | 使用 | 目的 | source | 宛先 |
|---|---|---|---|---|---|---|---|
| SMTP | TCP | アウト | 25 | アラートとイベントのメールを送信するために、顧客のメール サーバーを開く場合に使用します | センサーと OT センサー | 電子メール サーバー | |
| DNS | TCP/UDP | /アウトの選択 | 53 | DNS | DNS サーバー ポート | OT センサーとセンサー | DNS サーバー |
| HTTP | TCP | アウト | 80 | 証明書のアップロード時に証明書の検証用の CRL をダウンロードします。 | CRL サーバーへのアクセス | センサーと OT センサー | CRL サーバー |
| WMI | TCP/UDP | アウト | 135、1025-65535 | 監視 | Windows エンドポイント監視 | Sensor | 関連するネットワーク要素 |
| SNMP | UDP | アウト | 161 | 監視 | センサーの正常性を監視します | OT センサーとセンサー | SNMP サーバー |
| LDAP | TCP | /アウトの選択 | 389 | Active Directory | アクセス権を持つユーザーの Active Directory 管理を許可し、システムにサインインできるようにします | OT センサーとセンサー | LDAP サーバー |
| プロキシ | TCP/UDP | /アウトの選択 | 443 | プロキシ | センサーをプロキシ サーバーに接続するため | OT センサーとセンサー | プロキシ サーバー |
| syslog | UDP | アウト | 514 | LEEF | OT センサーから Syslog サーバーに送信されるログ | OT センサーとセンサー | Syslog サーバー |
| LDAPS | TCP | /アウトの選択 | 636 | Active Directory | アクセス権を持つユーザーの Active Directory 管理を許可し、システムにサインインできるようにします | OT センサーとセンサー | LDAPS サーバー |
| トンネリング | TCP | / | 9000 ポート 443 に加えて、センサーから OT センサーへのポート 22 OT センサーまたはエンド ユーザーからのアクセスを許可します |
監視 | トンネリング | エンドポイント、センサー | OT センサー |
次のステップ
詳細については、「Defender for IoT サイトのデプロイを計画して準備する」を参照してください。