メインコンテンツへスキップ

Microoft Defender for IoT ブログシリーズ 【第2回】Microsoft Defender for IoTでOT環境の可視化

_________.png

 

本シリーズの構成は以下のようになっています。

  1. 【第1回】OTセキュリティとは

  2. 【第2回】Microsoft Defender for IoTでOT環境の可視化 (※ 本記事)

  3. 【第3回】レポート・脆弱性診断

  4. 【第4回】その他の機能

 

目次

購入と設置

センサーコンソール

デバイスのマップ

デバイスインベントリ

アラート

 

 

 

第2回はMicrosoft Defender for IoTを使ったOT環境の可視化について話をさせて頂きます。

 

購入と設置

可視化の前に、Microsoft Defender for IoTの設置について解説します。

 

まず、Defender for IoTはソフトウェア製品です。従って、ライセンスを購入していただき、センサーと呼ぶハードウェアにインストールしていただく必要があります。

 

必要なスペックについては、Microsoft社のサイトを参照いただく必要があります。

一例として、最大監視対象1,000台の場合HPE ProLiant DL20 Gen 11(CPU: Intel Xeon E-2434 3.4 GHz 4 コア、メモリ 16GB HDD 1TB)が推奨されています。

実際の物理センサー以外にも仮想環境(VMware ESXiMicrosoft Hyper-V)上に仮想アプライアンスを構築することも可能です。

詳細はMicrosoft社のアプライアンスカタログを参照ください。

https://learn.microsoft.com/ja-jp/azure/defender-for-iot/organizations/appliance-catalog/

製品のインストールに関しても、上記に情報があります。

 

続いて設置ですが、Defender for IoTはミラーポートに接続し、ミラーで拾ってきたパケットを解析することになります。監視したい機器の通信が拾えるようにミラーを設定していただきます。1つのアプライアンスで複数のミラーポートからデータを取得することが可能です。尚、1つのアプライアンスで最低1つの管理用ポートと1つの監視用ポートが必要になります。

設置後は最初に学習モードで動作させ、ネットワーク内の通信の状態を学習させます。

12週間程度で学習モードをOFFにすることで監視が始まります。

image2.png

 

センサーコンソール

センサーコンソールについて解説します。設置したセンサーの管理ポートのIPアドレスに接続するとセンサーコンソールに接続できます。

image3.png

 コンソールにログインすると、次の様な画面が表示されます。

※本コラムで使用している内容、およびスクリーンショットはバージョン24.1.3の内容です。バージョンによって差異がありますので、ご了承ください。また、インストール後の言語は「英語」ですが、本コラムでは「日本語」に変更しています。

image4.png

画面左端がメニューで、初期状態は「概要」が表示されています。

「概要」ページでは次のようなことが確認できます。

 

各ウィジェットの上部にはPPS(Packet Per Second)、検出デバイス数、アラート数が表示されます。

 

ウィジェット名 - 説明

  • 全般設定 - センサーの基本的な構成設定と接続の状態の一覧を表示します。
  • トラフィックの監視 ネットワーク内のトラフィック量を表示します。 グラフには、表示日のトラフィック量が 1 時間あたりの Mbps 単位で表示されます。
  • 上位 5 つの OT プロトコル -使用されている プロトコルの上位 5 つを詳しく示す棒グラフが表示されます。 棒グラフには、これらの各プロトコルを使用しているデバイスの数も表示されます。
  • ポート別のトラフィック - ネットワーク内のポートの種類と、ポートの種類ごとに検出されたトラフィックの割合を示す円グラフが表示されます。
  • 上位のオープンアラート 未クローズのアラートを重大度レベルが高い順に表示されます。

 

各ウィジェットのリンクを選択すると、センサーの詳細をドリルダウンできます。

基本的にはこのページで、簡単にネットワークの状態を監視できるように出来ています。

 

デバイスのマップ

 

image5.png

既定では、OT センサーによって検出されたすべてのデバイスが、Purdue レイヤーに従って表示されます。

 

OT センサーのデバイス マップは、以下のようになっています。

  • 現在アクティブなアラートがあるデバイスは赤で強調表示されます
  • 星付きのデバイスは、重要と設定されたデバイスです
  • アラートのないデバイスは黒、拡大接続ビューでは灰色で表示されます

 

このマップは拡大・縮小が出来ます。以下が拡大した例です。

グラフィカル ユーザー インターフェイス, アプリケーション, Teams 自動的に生成された説明

 拡大すると、各デバイスに次の詳細が表示されます。

image7.png

表示内容

  • デバイスの種類に応じたアイコン。
  • デバイスのホスト名
  • IP アドレス、サブネット アドレス (該当する場合)
  • デバイスで発生しているアラート数
  • IT ネットワークのサブネットにグループ化されたデバイスの数 (該当する場合)
  • 新しく検出されたデバイスのマーク
  • 未承認デバイスのマーク

マップ上でデバイスを右クリックすると、次のことができます。

image8.png

  • プロパティの編集 編集可能な名称などを変更できます。
  • プロパティの表示 プロパティを表示します。
  • 承認の解除 承認済みデバイスを承認解除します。
  • 重要としてマーク 重要デバイスについては、重要マークを付けることができます。
  • アラート、イベントの表示 このデバイスにまつわるアラートとイベントを表示します。
  • アクティビティレポート 過去のアクティビティを表示します。
  • 攻撃ベクトルをシミュレートする 第4回で説明する攻撃ベクトルの対象とします。
  • カスタムグループに追加 手動でグループ化を行います。
  • 削除 マップからデバイスを削除します。

 

デバイスのプロパティは次のように表示されます。

image9.png

「デバイスの詳細」を押すと更に詳細を見ることができます。

 

 

それぞれのデバイスを繋いでいる線は過去に通信があったものです。線も選択することができ、過去の通信内容を表示することができます。

image10.png

 

このマップですが、カスタマイズが可能です。

各デバイスは画面上の任意の位置に移動できますので、工場のラインなどの実配置に合わせる等、わかりやすいマップを作成することが出来ます。

また、規模が大きい場合はグループ化、ゾーン分け等を行う事も可能です。

 

 

デバイスインベントリ

 

image11.png

デバイスインベントリ画面では、センサーで管理される機器の一覧が表示できます。

 

デフォルトで収集・表示できるデータは次の通りです。

  • IPアドレス - デバイスのIPアドレス
  • 名前 - (編集可能)センサーによって検出された、またはユーザーが入力したデバイスの名前
  • 最後のアクティビティ - デバイスの最後の通信があった時間からの経過時間
  • 種類 - (編集可能)デバイスの種類
  • プロトコル - デバイスで使用するプロトコル
  • MACアドレス - デバイスのMACアドレス
  • ベンダー - (編集可能)デバイスのベンダー
  • ファームウェアバージョン - (編集可能)デバイスのファームウェアバージョン
  • モデル - デバイスのモデル名
  • オペレーティングシステム - (編集可能)デバイスのOS

 

上記が初期表示で、そのほかに次の項目が表示可能です。

image12.png

 これらはあくまでネットワーク上に流れているデータから検出されますので、すべてが正確に表示されるわけではありません。ネットワーク上で検出できない値については、手動で入力して管理することが可能です。

一覧はCSVにエクスポートできますので、このまま資産管理として利用可能な機能となります。

 

 

 

 Defender for IoTをネットワーク内に導入すると、このようにしてデバイスマップが自動生成されます。通信さえ行われていれば、設置後数分から数十分ほどでこのマップが表示され始めます。

一通りのデバイスが表示を終えたら、後は担当者が見やすいようにマップを並べ替えることができます。

これで一番引き合いの多いOTネットワークの可視化は完成です。

どのような機器が存在し、どの機器とどのようなプロトコルで繋がっているかを一目で見ることができます。

まずはOTのセキュア化の一歩ですが、Defender for IoTの機能はこれだけではありません。

他の機能も見ていきましょう。

 

アラート

 

image13.png

こちらもメイン機能の一つ、アラート表示の画面です。

デフォルトではアラートが時系列で並びます。

アラートを選んでいただきますと、内容が右側に表示されます。

image14.png

 この例ではPLC の動作モードが変更されましたことでワーニングが出力されています。

「すべての詳細を表示」を押すと詳細画面が表示されます。

image15.png

アラートの詳細画面が表示されます。

ここで「アクションを取る」を選ぶと、推奨の対応が表示されます。

image16.png

通常操作などでアラートではない場合は「アラートのミュート」をオンにすることにより、同様のアラートは発報されなくなります。 

 

「マップビュー」を選ぶと、デバイスビューの画面になり、マップ時用の位置が確認できます。

「イベントタイムライン」を選ぶと、センサーに保存されたイベントが一覧表示されます。

image17.png

上記がイベントタイムラインです。センサーに保存されたイベントの中で、対象のPLCに関係するイベントが表示されます。

この機能を使うと、アラートが発生した前後にどのようなイベントがあったのかが確認できます。

この例ですと、アラート発生時に192.168.10.105の端末から対象のPLCに対して操作を行ったことが確認できます。

 

更に詳細を確認したい場合は画面左上の「PCAPのダウンロード」をクリックしてください。アラートが発生した前後のパケットキャプチャーが自動的に取得されていますので、Wireshark等のPCAPアナライザーで詳細を確認することができます。

 

このように、アラート画面ではインシデント発生時などに役に立つ機能が提供されます。

 

次回

今まで難解であったOTネットワークでもDefender for IoTを入れることにより簡単に可視化が可能になります。

続いて第3回ではMicrosoft Defender for IoTのレポート機能について解説してまいります。

 

~~ 連載記事一覧 ~~

 

関連記事