Microsoft Defender XDR での Enterprise IoT 監視の概要

  • [アーティクル]

この記事では、Microsoft Defender for Endpoint のお客様が、Microsoft Defender XDR の追加されたセキュリティ値を使用して、環境内の Enterprise IoT デバイスを監視する方法について説明します。

Defender for Endpoint P2 のお客様には IoT デバイス インベントリが既に提供されていますが、Enterprise IoT セキュリティを有効にすると、エンタープライズ ネットワーク内の IoT デバイス用に構築されたアラート、推奨事項、脆弱性データが追加されます。

IoT デバイスには、プリンター、カメラ、VOIP 電話、スマート テレビなどが含まれます。 Enterprise IoT セキュリティを有効にすると、たとえば、Microsoft Defender XDR の推奨事項を使用して、サーバーとプリンターの両方で脆弱なアプリケーションにパッチを適用するための 1 つの IT チケットを開くことができます。

前提条件

この記事の手順を開始する前に、企業での IoT デバイスのセキュリティ保護に関するページを読み、Defender for Endpoint と Defender for IoT の統合について詳しく理解してください。

次のソリューションがあることを確認します。

  • ネットワーク内の IoT デバイス (Microsoft Defender XDR の [デバイス インベントリ] に表示される)

  • セキュリティ管理者としての Microsoft Defender ポータルへのアクセス権

  • 次のいずれかのライセンス:

    • Microsoft 365 E5 (ME5) または E5 セキュリティ ライセンス

    • Microsoft Defender for Endpoint P2 (追加のスタンドアロン Microsoft Defender for IoT - EIoT デバイス ライセンス - アドオン ライセンス付き)。Microsoft 365 管理センターから購入または試用できます。

    ヒント

    スタンドアロン ライセンスをお持ちの場合は、Enterprise IoT セキュリティをオンに切り替える必要はなく、「Microsoft Defender XDR で追加されたセキュリティ値を表示する」に直接スキップできます。

    詳しくは、Microsoft Defender XDR の Enterprise IoT セキュリティに関する記事をご参照ください。

Enterprise IoT 監視を有効にする

この手順では、Microsoft Defender XDR で Enterprise IoT 監視を有効にする方法について説明します。これは、ME5/E5 セキュリティのお客様にのみ関係があります。

次のいずれかの種類のライセンス プランをお持ちの場合は、この手順をスキップします。

  • 従来の Enterprise IoT 価格プランと ME5/E5 セキュリティ ライセンスをお持ちのお客様。
  • Microsoft Defender for Endpoint P2 に追加されたスタンドアロンのデバイスごとのライセンスをお持ちのお客様。 このような場合、Enterprise IoT セキュリティ設定は、読み取り専用として有効になります。

Enterprise IoT 監視を有効にするには、次の手順を行います。

  1. Microsoft Defender XDR 内で、[設定]>[デバイスの検出]>[Enterprise IoT] を選択します。

Note

[設定]>[エンドポイント]>[高度な機能] で [デバイスの検出] がオンになっていることを確認します。

  1. Enterprise IoT セキュリティ オプションを [オン] に切り替えます。 次に例を示します。

    Screenshot of Enterprise IoT toggled on in Microsoft Defender XDR.

Microsoft Defender XDR で追加されたセキュリティ値を表示する

この手順では、[Enterprise IoT セキュリティ] オプションがオンになっている場合に、特定のデバイスの関連するアラート、推奨事項、脆弱性を Microsoft Defender XDR で表示する方法について説明します。

追加されたセキュリティ値を表示するには:

  1. Microsoft Defender XDR 内で、[資産]>[デバイス] を選択して、[デバイス インベントリ] ページを開きます。

  2. [IoT デバイス] タブを選択し、ドリルダウンして詳細を確認する特定のデバイス IP を選択します。 次に例を示します。

    Screenshot of the IoT devices tab in Microsoft Defender XDR.

  3. デバイスの詳細ページで、次のタブを調べて、デバイスについて Enterprise IoT セキュリティで追加されたデータを表示します。

    • [アラート] タブで、デバイスによってトリガーされたアラートがないか確認します。 Microsoft 365 Defender の評価およびチュートリアルに関するページで入手できる Raspberry Pi シナリオを使用して、Microsoft 365 Defender for Enterprise IoT でアラートをシミュレートします。

      高度なハンティング クエリを設定して、カスタム アラート ルールを作成することもできます。 詳細については、Enterprise IoT 監視用の高度なハンティング クエリのサンプルに関する記事を参照してください。

    • [セキュリティに関する推奨事項] タブで、リスクを軽減して攻撃面を小さく維持するためにデバイスで使用できる推奨事項がないか確認します。

    • [検出された脆弱性] タブで、デバイスに関連付けられている既知の CVE がないか確認します。 既知の CVE は、デバイスにパッチを適用するか、デバイスを削除するか、または封じ込めるかどうかを決定して、ネットワークのリスクを軽減するのに役立ちます。 または、高度なハンティング クエリを使用して、すべてのデバイスの脆弱性を収集します。

脅威を探索するには:

[デバイス インベントリ] ページで、[検出する] を選択して DeviceInfo テーブルなどのテーブルを使用してデバイスのクエリを実行します。 [詳細な捜索] ページで、他のスキーマを使用してデータのクエリを実行します。

Enterprise IoT の高度なハンティング クエリのサンプル

このセクションでは、Microsoft 365 Defender で使用できる高度なハンティング クエリの例を示します。これは、IoT セキュリティのために Enterprise を使用して IoT デバイスを監視およびセキュリティ保護するのに役立ちます。

特定の種類またはサブタイプでデバイスを検索する

次のクエリを使用して、ルーターなどのデバイスの種類によって、企業ネットワークに存在するデバイスを識別します。

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router" 

IoT デバイスの脆弱性を見つけてエクスポートする

IoT デバイス上のすべての脆弱性を一覧表示するには、次のクエリを使用します。

DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId

詳細については、高度な捜索に関するページおよび「高度な捜索スキーマの概要」を参照してください。

次のステップ

デバイス検出の概要