脅威インテリジェンスの調査とパッケージ

概要

Microsoft のセキュリティ チームは、独自の ICS 脅威インテリジェンスおよび脆弱性調査を実施しています。 これらのチームには、MSTIC (Microsoft Threat Intelligence Center)、DART (Microsoft Detection and Response Team)、DCU (Digital Crimes Unit)、Section 52 (ICS 固有のゼロデイ、リバースエンジニアリングのマルウェア、キャンペーン、および敵対者を追跡する IoT/OT/ICS ドメインの専門家) が含まれています

チームは、Microsoft の次の分野に対してセキュリティの検出、分析、および対応を提供します。

  • クラウド インフラストラクチャとサービス。
  • 従来の製品とデバイス。
  • 社内リソース。

セキュリティ チームは、次の利点を得ています。

  • 既知のおよび関連する脅威からの保護。
  • トリアージと優先度付けに役立つ分析情報。
  • 影響を受ける前に、脅威の完全なコンテキストに対する理解。
  • 関連性、正確性、実用性がより高いデータ。

このインテリジェンスにより、Microsoft プラットフォーム分析を強化するためのコンテキスト情報が提供され、インシデント対応および侵害を調査するために会社の管理サービスがサポートされます。 脅威インテリジェンス パッケージには、署名 (マルウェアの署名を含む)、CVE、およびその他のセキュリティ コンテンツが含まれています。

パッケージが配信されるタイミング

脅威インテリジェンス パッケージは、約 1 か月に 1 回、または必要に応じてより頻繁に提供されます。 新しいパッケージに関するお知らせは、 https://techcommunity.microsoft.com/t5/azure-defender-for-iot/bd-p/AzureDefenderIoT から確認できます。

Defender for IoT ポータルの [更新] ページの [Threat intelligence update](脅威インテリジェンス更新) セクションから配信される最新パッケージも確認できます。

ご自分のセンサーの脅威インテリジェンス パッケージを更新する

ご自分のセンサーの脅威インテリジェンス パッケージの更新では、3 つのオプションを使用できます。

  • パッケージが Defender for IoT によって配布されたら、それをセンサーに自動的にプッシュする。
  • 必要に応じて、脅威インテリジェンス パッケージをセンサーに手動でプッシュする。
  • パッケージをダウンロードし、それを 1 つのセンサーまたは複数のセンサーにアップロードする。

Defender for IoT セキュリティ閲覧者のアクセス許可が割り当てられているユーザーは、パッケージを自動および手動でセンサーにプッシュできます。

脅威インテリジェンスの更新をセンサーに自動的にプッシュする

"クラウド接続" センサーについては、新しい脅威インテリジェンス パッケージが Defender for IoT によってリリースされると、それに自動的に更新できます。 パッケージが確実に自動更新されるようにするには、 [Automatic Threat Intelligence Updates](脅威インテリジェンスの自動更新) オプションが有効になっている状態で、クラウド接続センサーをオンボードします。 詳細については、「センサーをオンボードする」を参照してください。

脅威インテリジェンスの更新をセンサーに手動でプッシュする

ご自分の "クラウド接続" センサーは、脅威インテリジェンス パッケージで自動的に更新できます。 ただし、より保守的なアプローチを使用したい場合は、必要と思われるときにのみ、Azure Defender for IoT ポータルからセンサーにパッケージをプッシュすることができます。 これにより、パッケージをインストールするタイミングを制御できます。これをダウンロードしてご自分のセンサーにアップロードする必要はありません。

パッケージを手動でプッシュするには:

  1. Azure Defender for IoT の [Sites and Sensors](サイトとセンサー) ページに移動します。
  2. センサーの省略記号 ([...]) を選択し、 [脅威インテリジェンスの更新をプッシュ] を選択します。 [脅威インテリジェンスの更新状態] フィールドに更新の進行状況が表示されます。

脅威インテリジェンスの更新モードを変更する

最初のオンボード後にセンサーの脅威インテリジェンスの更新モードを変更できます。

更新モードを変更するには:

  1. センサーの省略記号 ([...]) を選択し、 [編集] を選択します。
  2. [Automatic Threat Intelligence Updates](脅威インテリジェンスの自動更新) トグルを有効または無効にします。

パッケージをダウンロードしてセンサーにアップロードする

パッケージを Defender for IoT ポータルからダウンロードし、個々のセンサーに手動でアップロードできます。 オンプレミスの管理コンソールでセンサーを管理している場合は、脅威インテリジェンス パッケージを管理コンソールにダウンロードし、複数のセンサーに同時にプッシュすることができます。

Azure Defender for IoT ポータルから更新プログラムをダウンロードします。

このオプションは、"クラウド接続" センサーと "ローカル管理" センサーの両方で使用できます。

1 つのセンサーにアップロードするには:

  1. Azure Defender for IoT の [更新プログラム] ページに移動します。

  2. 脅威インテリジェンス パッケージをダウンロードして保存します。

  3. センサー コンソールにサインインします。

  4. サイド メニューで、 [システム設定] を選択します。

  5. [脅威インテリジェンス データ] を選択し、 [更新] を選択します。

  6. 新しいパッケージをアップロードします。

複数のセンサーに同時にアップロードするには:

  1. Azure Defender for IoT の [更新プログラム] ページに移動します。

  2. 脅威インテリジェンス パッケージをダウンロードして保存します。

  3. 管理コンソールにサインインします。

  4. サイド メニューで、 [システム設定] を選択します。

  5. [センサー エンジン構成] セクションで、更新されたパッケージを受け取るセンサーを選択します。

  6. [脅威インテリジェンス データの選択] セクションで、プラス記号 ( + ) を選択します。

  7. パッケージをアップロードします。

センサーのパッケージの更新状態を確認する

パッケージの更新状態とバージョン情報は、センサーの [システムの設定][脅威インテリジェンス] セクションに表示されます。

クラウド接続センサーのパッケージ情報を確認する

ご自分のクラウド接続センサーの脅威インテリジェンス パッケージに関する次の情報を確認します。

  • インストールされているパッケージのバージョン
  • 脅威インテリジェンスの更新モード
  • 脅威インテリジェンスの更新状態

脅威インテリジェンスの情報を確認するには:

  1. Azure Defender for IoT の [Sites and Sensors](サイトとセンサー) ページに移動します。
  2. 各センサーにインストールされている 脅威インテリジェンスのバージョン を確認します。 バージョン名は、パッケージが Defender for IoT によって差作成された日付に基づいています。
  3. 脅威インテリジェンス モード を確認します。 [自動] は、使用可能な新しいパッケージが Defender for IoT によってリリースされると、それがセンサーに自動的にインストールされることを示しています。 [手動] は、使用可能な新しいパッケージを必要に応じてセンサーに直接プッシュできることを示しています。
  4. 脅威インテリジェンスの更新状態 を確認します。 次の状態が表示される場合があります。
  • 失敗
  • 進行中
  • 利用可能な更新プログラムがあります
  • [OK]

クラウド接続の脅威インテリジェンスの更新に失敗した場合は、 [Sites and Sensors](サイトとセンサー) ページの [Sensor status](センサーの状態)[最終接続日時 (UTC)] 列の接続情報を確認します。

関連項目

センサーをオンボードする

管理コンソールからセンサーを管理する