センサーをアクティブ化してセットアップする

この記事では、センサーをアクティブ化して初期セットアップを実行する方法について説明します。

アクティブ化は、管理者ユーザーが初めてサインインするときと、アクティブ化の管理が必要になったときに行います。 セットアップによって、検出とアラートが最適に行われるようにセンサーが構成されます。

セキュリティ アナリストと読み取り専用ユーザーは、センサーをアクティブ化したり、新しいパスワードを生成したりすることはできません。

管理者ユーザーのサインインとアクティブ化

管理者は初回サインイン時に、センサーのオンボード中にダウンロードされたアクティブ化とパスワード回復のファイルにアクセスできることを確認する必要があります。 できない場合は、Azure Defender for IoT ポータルでこれらのファイルを生成するために、Azure セキュリティ管理者、サブスクリプション共同作成者、またはサブスクリプション所有者のアクセス許可が必要です。

初回サインインとアクティブ化のチェックリスト

センサー コンソールにサインインする前に、管理者ユーザーは次にアクセスできる必要があります。

  • センサーの IP アドレス (インストール時に定義したもの)。

  • センサーのユーザーのサインイン資格情報。 センサーの ISO をダウンロードした場合は、インストール中に受け取った既定の資格情報を使用します。 アクティブ化後に新しい "管理者" ユーザーを作成することをお勧めします。

  • 初期パスワード。 Arrow から構成済みセンサーを購入した場合は、初めてサインインするときにパスワードを生成する必要があります。

  • このセンサーに関連付けられているアクティブ化ファイル。 このファイルは、Defender for IoT ポータルへのセンサーのオンボード中に生成されてダウンロードされたものです。

  • 会社に必要な SSL/TLS の CA 署名証明書。

アクティブ化ファイルについて

センサーは、特定の管理モードで Azure Defender for IoT にオンボードされました。

モードの種類 [説明]
クラウド接続モード センサーによって検出された情報はセンサー コンソールに表示されます。 また、アラート情報は IoT ハブを通じて配信され、他の Azure サービス (Azure Sentinel など) と共有できます。 また、脅威インテリジェンスの自動更新を有効にすることもできます。
ローカル接続モード センサーによって検出された情報はセンサー コンソールに表示されます。 また、センサーがオンプレミスの管理コンソールに接続されている場合は、検出情報が共有されます。

ローカル接続またはクラウド接続された、このセンサー用のアクティブ化ファイルはオンボード中に生成されてダウンロードされたものです。 アクティブ化ファイルには、センサーの管理モードに関する説明が含まれています。 "デプロイする各センサーに、一意のアクティブ化ファイルをアップロードする必要があります。 " 初めてサインインするときは、このセンサー用の関連アクティブ化ファイルをアップロードする必要があります。

Azure Defender for IoT ポータル、センサーをオンボードする。

証明書について

センサーのインストール後、ローカルの自己署名証明書が生成され、センサー コンソールにアクセスするために使用されます。 管理者がコンソールに初めてサインインすると、SSL/TLS 証明書をオンボードするように求めるメッセージがそのユーザーに表示されます。

次の 2 つのレベルのセキュリティを使用できます。

  • CA 署名証明書をアップロードして、組織で要求されている特定の証明書と暗号化の要件を満たします。
  • 管理コンソールと接続されたセンサー間で検証を行えるようにします。 検証は、証明書失効リストと証明書の有効期限に対して評価されます。 "検証が失敗すると、管理コンソールとセンサー間の通信が停止され、検証エラーがコンソールに表示されます。 " このオプションは、インストール後に既定で有効になります。

コンソールでは、次の証明書の種類がサポートされています。

  • プライベートおよびエンタープライズ キー インフラストラクチャ (プライベート PKI)

  • 公開キー基盤 (パブリック PKI)

  • アプライアンスのローカルで生成された (ローカルで自己署名された) もの

    重要

    既定の自己署名証明書は使用しないことをお勧めします。 この証明書はセキュリティで保護されていないため、テスト環境でのみ使用してください。 証明書の所有者を検証できないため、システムのセキュリティを維持できません。 実稼働ネットワークには、このオプションを使用しないでください。

証明書の操作の詳細については、証明書の管理に関する記事を参照してください。

サインインしてセンサーをアクティブ化する

サインインしてアクティブ化するには、次のようにします。

  1. インストール中に定義された IP を使用して、ブラウザーからセンサー コンソールにアクセスします。 サインインのダイアログ ボックスが開きます。

    Azure Defender for IoT センサー。

  2. センサーのインストール中に定義された資格情報を入力するか、 [パスワードの回復] オプションを選択します。 Arrow から構成済みセンサーを購入した場合は、まずパスワードを生成します。 パスワードの回復の詳細については、初回サインインでのパスワード エラーの調査に関する記事を参照してください。

  3. サインインすると、 [Activation](アクティブ化) ダイアログ ボックスが開きます。 [アップロード] を選択し、センサーのオンボード中にダウンロードしたアクティブ化ファイルにアクセスします。

    [アップロード] を選択して、アクティブ化ファイルにアクセスする。

  4. アクティブ化の前にセンサーのネットワーク構成を変更する場合は、 [Sensor Network Configuration](センサーのネットワーク構成) リンクを選択します。 「アクティブ化の前にセンサーのネットワーク構成を更新する」を参照してください。

  5. 使用条件に同意します。

  6. [アクティブ化] を選びます。 SSL/TLS 証明書のダイアログ ボックスが開きます。

  7. 証明書名を定義します。

  8. CRT およびキーのファイルをアップロードします。

  9. パスフレーズを入力し、必要に応じて PEM ファイルをアップロードします。

  10. [次へ] を選択します。 検証画面が開きます。 既定で、管理コンソールと接続されたセンサー間の検証が有効になっています。

  11. 検証を無効にするには、 [システム全体の検証を有効にする] トグルをオフにします。 検証を有効にすることをお勧めします。

  12. [保存] を選択します。

CA 署名証明書のアップロード後に、画面を更新する必要がある場合があります。

新しい証明書のアップロード、サポートされている証明書パラメーター、CLI 証明書コマンドの操作の詳細については、個々のセンサーの管理に関する記事を参照してください。

アクティブ化の前にセンサーのネットワーク構成を更新する

センサーのネットワーク構成パラメーターは、ソフトウェアのインストール時または構成済みセンサーを購入したときに定義されています。 定義されているパラメーターは、次のとおりです。

  • IP アドレス
  • DNS
  • デフォルト ゲートウェイ
  • サブネット マスク
  • ホスト名

センサーをアクティブ化する前に、この情報を更新する必要がある場合があります。 たとえば、Arrow によって定義された構成済みパラメーターを変更する必要がある場合があります。 また、センサーをアクティブ化する前に、プロキシ設定を定義することもできます。

センサーのネットワーク構成パラメーターを更新するには、次のようにします。

  1. [Activation](アクティブ化) ダイアログ ボックスの [Sensor Network Configuration](センサーのネットワーク構成) リンクを選択します。

    センサーのネットワーク構成。

  2. インストール時に定義したパラメーターが表示されます。 プロキシを定義するオプションも使用できます。 必要に応じて任意の設定を更新し、 [Save](保存) を選択します。

期限切れのライセンスをアクティブ化する (10.0 より前のバージョン)

10.0 より前のバージョンのユーザーの場合、ライセンスの有効期限が切れることがあり、次のアラートが表示されます。

ライセンスの有効期限が切れると、アクティブ化ファイルを使用してライセンスを更新する必要があります。

ライセンスをアクティブ化するには、次の手順を実行します。

  1. サポートでケースを開きます。

  2. サポートにアクティブ化 ID 番号を提供します。

  3. サポートから、新しいライセンス情報が文字列の形式で提供されます。

  4. ご契約条件を読んで、チェックボックスをオンにして承認します。

  5. 指定されたスペースに文字列を貼り付けます。

    指定されたフィールドに文字列を貼り付けます。

  6. [アクティブ化] を選びます。

以降のサインイン

初回のアクティブ化後は、サインイン後にアクティブ化ファイルが要求されずに Azure Defender for IoT センサー コンソールが開きます。 必要なのはサインイン資格情報のみです。

サインインすると、Azure Defender for IoT コンソールが開きます。

Azure Defender for IoT コンソール。

初期セットアップと学習 (管理者向け)

初めてサインインすると、Azure Defender for IoT センサーによってネットワークの監視が自動的に開始されます。 ネットワーク デバイスがデバイス マップとデバイス インベントリのセクションに表示されます。 Azure Defender for IoT によって、ネットワークで発生するすべてのセキュリティと運用上のインシデントの検出とアラートが開始されます。 その後、検出された情報に基づいてレポートとクエリを作成できます。

最初、このアクティビティは学習モードで実行されます。これは、ネットワークの通常のアクティビティを学習するようセンサーに指示するものです。 たとえば、ネットワークで検出されたデバイス、ネットワークで検出されたプロトコル、特定のデバイス間で発生するファイル転送がセンサーによって学習されます。 このアクティビティがネットワークのベースライン アクティビティになります。

基本システム設定を確認および更新する

センサーのシステム設定を確認して、検出とアラートが最適に行われるようにセンサーが構成されていることを確認します。

センサーのシステム設定を定義します。 例:

  • ICS (または IoT) と分離されたサブネットを定義します。

  • サイト固有のプロトコルのポート別名を定義します。

  • 使用中の VLAN と名前を定義します。

  • DHCP が使用されている場合は、正当な DHCP 範囲を定義します。

  • Active Directory およびメール サーバーとの統合を定義します。

学習モードを無効にする

システム設定を調整した後は、システム検出でネットワーク アクティビティが正確に反映されるようになるまで、Azure Defender for IoT センサーを学習モードで実行できます。

学習モードは、ネットワークのサイズと複雑さに応じて、約 2 週間から 6 週間実行する必要があります。 学習モードを無効にすると、ベースライン アクティビティと異なるアクティビティによってアラートがトリガーされます。

学習モードを無効にするには、次のようにします。

  • [システム設定] を選択し、 [Learning](学習) オプションをオフにします。

セキュリティ アナリストおよび読み取り専用ユーザーの初回サインイン

サインインする前に、次があることを確認してください。

  • センサーの IP アドレス。
  • 管理者によって提供されたサインイン資格情報。

コンソール ツール: 概要

サイドメニューからコンソール ツールにアクセスします。

ナビゲーション

ウィンドウ アイコン 説明
ダッシュボード ネットワークのセキュリティの状態に関する直感的なスナップショットを表示します。
デバイス マップ マップ内のネットワーク デバイス、デバイス接続、およびデバイス プロパティを表示します。 さまざまなズーム、強調表示、およびフィルターのオプションを使用して、ネットワークを表示できます。
デバイスのインベントリ デバイス インベントリには、センサーによって検出されたデバイス属性の一覧が表示されます。 次のオプションを使用できます。
- テーブルのフィールドに従って情報を並び変えるかフィルター処理し、フィルター処理された情報を表示します。
- CSV ファイルに情報をエクスポートします。
- Windows レジストリの詳細をインポートします。
警告 ポリシー違反が発生した場合、ベースライン動作からの逸脱が発生した場合、またはネットワーク内で各種の疑わしいアクティビティが検出された場合にアラートを表示します。
Reports データ マイニング クエリに基づくレポートを表示します。

分析

ウィンドウ アイコン 説明
イベント タイムライン アラート、ネットワーク イベント (情報)、ユーザーの操作 (ユーザーのサインインやユーザーの削除など) に関する情報が含まれたタイムラインを表示します。

ナビゲーション

ウィンドウ アイコン 説明
データ マイニング さまざまなレイヤーにおけるネットワーク デバイスに関する包括的で詳細な情報を生成します。
調査 さまざまなウィジェットでの傾向と統計を表示します。
リスク評価 [Vulnerabilities](脆弱性) ウィンドウを表示します。

管理者

ウィンドウ アイコン 説明
Users さまざまなアクセス レベルでユーザーとロールを定義します。
転送 Defender for IoT と統合しているパートナーおよび内部ソース (Azure Sentinel など) へのアラート情報を、電子メール アドレスや Webhook サーバーなどに転送します。
詳細については、「アラート情報を転送する」を参照してください。
システムの設定 システム設定を構成します。 たとえば、DHCP 設定を定義したり、メール サーバーの詳細を指定したり、ポートのエイリアスを作成したりします。
設定のインポート [設定のインポート] ウィンドウを表示します。 デバイスの情報は手動で変更できます。
詳細については、「デバイス情報をインポートする」を参照してください。

サポート

ウィンドウ アイコン 説明
サポート ヘルプが必要な場合は、Microsoft サポートにご連絡ください。

関連項目

脅威インテリジェンスの調査とパッケージ #

センサーをオンボードする

センサーのアクティブ化ファイルを管理する

監視するトラフィックを制御する