オンプレミスの管理コンソールを維持する (レガシ)

[アーティクル]
12/18/2023

重要

Defender for IoT では、Microsoft クラウドサービスまたは既存の IT インフラストラクチャを使用して一元的な監視とセンサー管理を行うことを推奨し、2025 年 1 月 1 日にオンプレミスの管理コンソールを廃止する予定です。

詳細については、「ハイブリッドまたはエアギャップ OT センサー管理のデプロイ」を参照してください。

この記事では、大規模なデプロイプロセス外で実行できる追加のオンプレミス管理コンソールアクティビティについて説明します。

注意事項

OT ネットワークセンサーとオンプレミス管理コンソールの文書化された構成パラメーターのみが、顧客の構成ではサポートされています。文書化されていない構成パラメーターやシステムプロパティは、変更しないでください。変更すると予期しない動作やシステム障害が発生する可能性があります。

Microsoft の承認なしにセンサーからパッケージを削除すると、予期しない結果が生じる場合があります。センサーにインストールされているすべてのパッケージは、センサーが正しく機能するために必要です。

前提条件

この記事の手順を実行する前に、次のものがあることを確認してください。

オンプレミス管理コンソールがインストールされ、アクティブ化されていること。
管理者ユーザーとしてのオンプレミス管理コンソールへのアクセス権。選択したプロシージャと CLI アクセスには、特権ユーザーも必要です。詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。
センサーの証明書を更新する必要がある場合に SSL/TLS 証明書が用意されていること。
セカンダリ NIC を追加する場合は、特権ユーザーとして CLI にアクセスする必要があります。

オンプレミス管理コンソール用のソフトウェアをダウンロードする

Defender for IoT ソフトウェアをお使いのアプライアンスにインストールする場合、またはソフトウェアのバージョンを更新する場合は、必要に応じてオンプレミス管理コンソール用のソフトウェアをダウンロードします。

Azure portal の Defender for IoT で、次のいずれかのオプションを使用します。

新規インストールまたはスタンドアロン更新の場合は、[はじめに]>[オンプレミス管理コンソール] の順に選択します。
- 新規インストールの場合、[アプライアンスの購入とソフトウェアのインストール] 領域でバージョンを選択し、[ダウンロード] を選択します。
- 更新の場合、[オンプレミス管理コンソール] 領域で更新シナリオを選択してから、[ダウンロード] を選択します。
接続されている OT センサーと共にオンプレミス管理コンソールを更新する場合は、[サイトとセンサー] ページ >[センサーの更新 (プレビュー)] メニューのオプションを使用します。

インストール後にセカンダリ NIC を追加する

IP アドレス範囲内の接続されたセンサー専用のセカンダリ NIC を追加して、オンプレミス管理コンソールのセキュリティを強化します。セカンダリ NIC を使用する場合、1 つ目はエンドユーザー専用、2 つ目は、ルーティングされたネットワークのゲートウェイの構成をサポートするためのものとなります。

この手順では、オンプレミス管理コンソールのインストール後にセカンダリ NIC を追加する方法について説明します。

セカンダリ NIC を追加するには:

SSH 経由でオンプレミス管理コンソールにサインインして CLI にアクセスし、以下を実行します。
```
sudo cyberx-management-network-reconfigure
```

以下の質問に対して、次の回答を入力します。

Screenshot of the required answers to configure your appliance.

パラメーター	入力する回答
Management Network IP address	`N`
サブネットマスク	`N`
DNS	`N`
Default gateway IP Address	`N`
Sensor monitoring interface 任意。センサーが別のネットワークセグメント上にある場合に関係します。	`Y`、設定可能な値を選択します
An IP address for the sensor monitoring interface	`Y`、そしてセンサーからアクセス可能な IP アドレスを入力します
A subnet mask for the sensor monitoring interface	`Y`、そしてセンサーからアクセス可能な IP アドレスを入力します
hostname	ホスト名を入力します

すべての選択内容を確認してから、「Y」と入力して変更を受け入れます。システムが再起動します。

新しいアクティブ化ファイルをアップロードする

デプロイの一環として、オンプレミス管理コンソールをアクティブ化しました。

監視対象デバイスの合計数がライセンス付与されたデバイスの数を超える場合など、メンテナンス手順の一環としてオンプレミス管理コンソールを再アクティブ化する必要がある場合があります。

オンプレミス管理コンソールに新しいアクティブ化ファイルをアップロードするには:

Azure portal の Defender for IoT で、[プランと価格] を選択します。
プランを選択し、次に、[Download on-premises management console activation file] (オンプレミス管理コンソールのアクティブ化ファイルをダウンロードする) を選択します。

ダウンロードしたファイルを、オンプレミス管理コンソールからアクセスできる場所に保存します。

Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されているため、マシンは署名された資産のみを使用します。
オンプレミス管理コンソールにサインインし、[システム設定]>[アクティブ化] を選択します。
[アクティブ化] ダイアログで、CHOOSE FILE を選択し、以前にダウンロードしたアクティブ化ファイルを参照します。
[閉じる] を選択して変更を保存します。

SSL/TLS 証明書の管理

運用環境を使用している場合は、オンプレミス管理コンソールのデプロイの一環として、CA 署名 SSL/TLS 証明書をデプロイしました。自己署名証明書は、テスト目的でのみ使用することをお勧めします。

次の手順では、証明書の有効期限が切れた場合など、更新された SSL/TLS 証明書をデプロイする方法について説明します。

CA 署名証明書をデプロイする
自己署名証明書を作成してデプロイする

CA 署名証明書をデプロイするには:

オンプレミス管理コンソールにサインインし、[システム設定]>[SSL/TLS 証明書] の順に選択します。

[SSL/TLS 証明書] ダイアログで、[+ 証明書の追加] を選択し、次の値を入力します。

パラメーター	説明
証明書名	証明書名を入力します。
パスフレーズ - オプション	パスフレーズを入力します。
秘密キー (KEY ファイル)	秘密キー (KEY ファイル) をアップロードします。
証明書 (CRT ファイル)	証明書 (CRT ファイル) をアップロードします。
証明書チェーン (PEM ファイル) - オプション	証明書チェーン (PEM ファイル) をアップロードします。

次に例を示します。

アップロードが失敗した場合は、セキュリティ管理者または IT 管理者に連絡してください。詳細については、「オンプレミスリソースの SSL/TLS 証明書の要件」および「OT アプライアンスの SSL/TLS 証明書を作成する」を参照してください。

[証明書の検証を有効にする] オプションを選択して、発行元の証明機関と証明書失効リストを使用した SSL/TLS 証明書のシステム全体での検証を有効にします。

このオプションがオンになっていて、検証に失敗した場合は、関連コンポーネント間の通信が停止し、検証エラーがセンサーに表示されます。詳細については、「CRT ファイルの要件」を参照してください。
[保存] を選択して変更を保存します。

各オンプレミス管理コンソールには自己署名証明書がインストールされていますが、これはテスト目的でのみ使用することをお勧めします。運用環境では、常に CA 署名証明書を使用することをお勧めします。

自己署名証明書は、証明書の所有者を検証できず、システムのセキュリティを維持できないため、安全性の低い環境につながります。

自己署名証明書を作成するには、オンプレミス管理コンソールから証明書ファイルをダウンロードし、証明書管理プラットフォームを使用して証明書ファイルを作成します。このファイルは、オンプレミス管理コンソールにアップロードして戻す必要があります。

自己署名証明書を作成するには:

ブラウザーでオンプレミス管理コンソールの IP アドレスに移動し、以下を実行します。

Web ブラウザーのアドレスバーで[セキュリティで保護されない] アラートを選択し、"このサイトへの接続がセキュリティで保護されていません" という警告メッセージの横にある > アイコンを選択します。次に例を示します。
[証明書の表示] アイコンを選択して、この Web サイトのセキュリティ証明書を表示します。
[証明書ビューアー] ペインで [詳細] タブを選択し、[エクスポート] を選択してエクスポートしたファイルの名前を入力し、ローカルコンピューターに保存します。

証明書管理プラットフォームを使用して、次の種類の SSL/TLS 証明書ファイルを作成します。

ファイルの種類	説明
.crt - 証明書コンテナーファイル	Windows エクスプローラーでサポートするための別の拡張子を持つ `.pem` または `.der` ファイル。
.key - 秘密鍵キーファイル	キーファイルは `.pem` ファイルと同じ形式で、Windows エクスプローラーでサポートするために拡張子が異なります。
.pem - 証明書コンテナーファイル (省略可能)	省略可能。証明書テキストの Base64 エンコードと、証明書の先頭と末尾をマークするプレーンテキストヘッダーとフッターを含むテキストファイル。

次に例を示します。

ダウンロードした証明書ファイルを開き、[詳細] タブの > [ファイルにコピー] を選択して証明書のエクスポートウィザードを実行します。
証明書のエクスポートウィザードで、[次へ]>[DER encoded binary X.509 (.CER)]> を選択し、もう一度 [次へ] を選択します。
[エクスポートするファイル] 画面で、[参照] を選択し、証明書を保存する場所を選択して、[次へ] を選択します。
[完了] を選択して、証明書をエクスポートします。

注意

既存のファイルの種類を、サポートされている種類に変換する必要がある場合があります。

完了したら、次の手順を使用して、証明書ファイルを検証します。

自己署名証明書をデプロイするには:

オンプレミス管理コンソールにサインインし、[システム設定]>[SSL/TLS 証明書] の順に選択します。
[SSL/TLS 証明書] ダイアログで、既定の [ローカルで生成された自己署名証明書 (安全でない、非推奨)] オプションを選択したままにします。
[確認する] を選択して警告を確認します。
[証明書の検証を有効にする] オプションを選択して、CRL サーバーに対して証明書を検証します。証明書は、インポートプロセス中に 1 回確認されます。

このオプションがオンになっていて、検証に失敗した場合は、関連コンポーネント間の通信が停止し、検証エラーがセンサーに表示されます。詳細については、「CRT ファイルの要件」を参照してください。
[保存] を選択して証明書の設定を保存します。

証明書のアップロードエラーのトラブルシューティング

証明書が正しく作成されていない場合、または無効な場合には、OT センサーまたはオンプレミス管理コンソールに証明書をアップロードすることはできません。次の表を使用して、証明書のアップロードが失敗し、エラーメッセージが表示された場合にアクションを実行する方法を理解します:

証明書の検証エラー	推奨
パスフレーズがキーと一致しません	正しいパスフレーズを指定していることを確認します。問題が解決しない場合は、正しいパスフレーズを使用して証明書を再作成してみてください。詳細については、「キーとパスフレーズでサポートされる文字」を参照してください。
信頼チェーンを検証できません。指定された証明書とルート CA が一致しません。	`.pem` ファイルが `.crt` ファイルに関連付けられていることを確認します。問題が解決しない場合は、`.pem` ファイルによって定義される正しい信頼チェーンを使用して、証明書を再作成してみてください。
この SSL 証明書は有効期限が切れているので、有効と見なされません。	有効な日付で新しい証明書を作成します。
この証明書は CRL によって失効されており、セキュリティで保護された接続には信頼できません	新しい未失効証明書を作成します。
CRL (証明書失効リスト) の場所に到達できません。このアプライアンスから URL にアクセスできることを確認してください	ネットワーク構成により、センサーまたはオンプレミスの管理コンソールが証明書で定義されている CRL サーバーに到達できることを確認します。詳細については、「CRL サーバーへのアクセスを確認する」を参照してください。
証明書の検証に失敗しました	これは、アプライアンスの一般的なエラーを示します。 Microsoft サポートに問い合わせてください。

オンプレミスの管理コンソールの名前を変更する

オンプレミス管理コンソールの既定の名前は管理コンソールであり、オンプレミス管理コンソール GUI とトラブルシューティングログに表示されます。

オンプレミス管理コンソールの名前を変更するには:

オンプレミス管理コンソールにサインインし、左下のバージョン番号のすぐ上にある名前を選択します。
[管理コンソールの構成の編集] ダイアログボックスで、新しい名前を入力します。名前の長さは、最大 25 文字である必要があります。次に例を示します。
[保存] を選択して変更を保存します。

特権ユーザーのパスワードを回復する

オンプレミス管理コンソールに特権ユーザーとしてアクセスできなくなった場合は、Azure portal からアクセス権を回復します。

特権ユーザーのアクセス権を回復するには:

オンプレミス管理コンソールのサインインページに移動し、[パスワードの回復] を選択します。
アクセス権を回復するユーザー (サポートまたは CyberX ユーザー) を選択します。
[パスワードの回復] ダイアログに表示される識別子を安全な場所にコピーします。
Azure portal で Defender for IoT に移動し、オンプレミス管理コンソールに現在接続されている OT センサーのオンボードに使用されたサブスクリプションが表示されていることを確認します。
[サイトとセンサー]>[その他のアクション]>[オンプレミスの管理コンソールのパスワードを復旧する] の順に選択します。
オンプレミス管理コンソールから先ほどコピーしたシークレット識別子を入力し、[回復] を選択します。

password_recovery.zip ファイルがブラウザーからダウンロードされます。

Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されているため、マシンは署名された資産のみを使用します。
オンプレミス管理コンソールの [パスワードの回復] ダイアログで、[アップロード] を選択し、ダウンロードした password_recovery.zip ファイルを選択します。

新しい資格情報が表示されます。

ホスト名を編集する

オンプレミス管理コンソールのホスト名は、組織の DNS サーバーで構成されているホスト名と一致している必要があります。

オンプレミス管理コンソールに保存されているホスト名を編集するには:

オンプレミス管理コンソールにサインインし、[システム設定] を選択します。
[管理コンソールのネットワーク] 領域で、[ネットワーク] を選択します。
新しいホスト名を入力し、[保存] を選択して変更を保存します。

VLAN 名を定義する

VLAN 名は、OT センサーとオンプレミス管理コンソールの間で同期されません。 OT センサーで VLAN 名を定義している場合は、オンプレミス管理コンソールで同じ VLAN 名を定義することをお勧めします。

VLAN 名を定義するには:

オンプレミス管理コンソールにサインインし、[システム設定] を選択します。
[管理コンソールのネットワーク] 領域で、[VLAN] を選択します。
[VLAN 構成の編集] ダイアログで、[VLAN の追加] を選択し、VLAN ID と名前を一度に 1 つずつ入力します。
[保存] を選択して変更を保存します。

SMTP メールサーバーの設定を構成する

オンプレミス管理コンソールで SMTP メールサーバーの設定を定義して、他のサーバーやパートナーサービスにデータを送信するようにオンプレミス管理コンソールを構成します。

たとえば、メール転送を設定し、転送アラートルールを構成するように SMTP メールサーバーを構成する必要があります。

前提条件:

オンプレミス管理コンソールから SMTP サーバーに到達できることを確認します。

オンプレミス管理コンソールで SMTP サーバーを構成するには:

SSH/Telnet 経由で特権ユーザーとしてオンプレミス管理コンソールにサインインします。

次のコマンドを実行します。

nano /var/cyberx/properties/remote-interfaces.properties

メッセージが表示されたら、次の SMTP サーバーの詳細を入力します。
- mail.smtp_server
- mail.port. 既定のポートは 25 です。
- mail.sender

次のステップ

詳細については、次を参照してください。