本シリーズの構成は以下のようになっています。
-
【第1回】OTセキュリティとは
-
【第2回】Microsoft Defender for IoTでOT環境の可視化
-
【第3回】レポート・脆弱性診断
-
【第4回】その他の機能 (※ 本記事)
目次
第4回はMicrosoft Defender for IoTのその他の機能について解説します。
イベントタイムライン
イベントタイムラインとは、Defender for IoTで検出したイベントをタイムラインで表示する機能です。アラート画面でもイベントタイムラインを参照できますが、アラート画面では問題が起きたデバイスでフィルターがかけられています。
こちらのイベントタイムラインでは、すべてのイベントを表示することができます。当然フィルターはかけられますので、確認したいデバイスだけ等見やすく表示することができます。
イベントを選択すると、詳細が表示できます。この画面の例ですと「Device Connection Detected」が表示されています。ほかにも、Device Detected等があります。この、デバイス間の通信発生やデバイスの電源が入った等ネットワーク上で検出した動作がイベントとなります。
この機能を使えば、ネットワーク上でどのような動作が行われたか、事後に確認する事ができます。
データマイニング
Defender for IoTで収集したデータは、様々な形で活用できます。その際に利用するのがデータマイニングです。
推奨として、次のクエリーが提供されています。
- Programming Commands - 産業用プログラミングコマンドを送信するデバイスを一覧表示します。
- Internet activity - インターネットに接続されているデバイスを一覧表示します。
- Excluded CVEs - CVE レポートから手動で除外された CVE を含むデバイスを一覧表示します。
- Active Devices (Last 24 Hours) - 過去 24 時間アクティブになっているトラフィックを持つデバイスを一覧表示します。
- Remote Access - リモート セッション プロトコルを介して通信するデバイスを一覧表示します。
- CVEs - 既知の脆弱性と CVSS のリスクスコアを含むデバイスを一覧表示します。
- Nonactive Devices (Last 7 Days) - 過去 7 日間通信していないデバイスを一覧表示します。
上記以外も、「レポートの作成」でカスタムクエリーを作成することができます。
また、クエリーの結果はCSVやPDFで出力することができます。
クエリーの作成画面です。「カテゴリの選択」でビルトインされた多くのカテゴリからカスタムレポートを作成できます。一例として、次の様なカスタムレポートが作成できます。
- 例) 特定のプロトコルを使っている端末の一覧
- 特定のポートを使っている端末の一覧
- SSH接続の一覧
Programming Commandsの結果
Programming Commandsでは、その名の通りですが期間内に検出したProgramming Commandの一覧をレポート化できます。
カスタムクエリーの効率的な使い方は、一つは毎月のレポートに使うデータを使いやすいように加工して準備をしておくことです。
もう一つはインシデントに備え、インシデント時にはこのクエリーを収集すると決めておくことで、インシデントレスポンスを迅速に行うことが可能になります。
傾向と統計
タイトルからはわかりづらいですが、カスタムダッシュボードを作る機能です。
「ダッシュボードの作成」を選ぶと、追加可能なウィジェットが一覧表示されます。
任意のダッシュボード名を決め、ウィジェットを選択後「保存」を押すことでダッシュボードが作成されます。作成後は、レイアウトも自由に変えることができます。
基本的なネットワークやアラートの状態は「概要」画面で確認できます。
カスタムダッシュボードではよく使うグラフを表示させておくことで、簡単にネットワークの状態を確認する画面をあらかじめ作成しておけます。
こちらもクエリーと一緒で、インシデント時にはこのダッシュボードを確認する等とあらかじめ決めておけば、インシデントレスポンスを迅速に行うことが可能になります。
カスタムのアラートルール
Defender for IoTでは、ビルトインアラートが定義されています。
通常の使用であればビルトインアラートで全く問題はありませんが、それぞれのお客様において便利に使えるよう、カスタムのアラートルールを設定可能です。
一例として、「禁止しているコマンドを検出したらアラートを上げたい」とか「特定のプロトコルを検出したらアラートを上げたい」等、特定の場所限定のアラートを作りこむことができます。
複数のセンサーを統合管理する
Defender for IoTは個々のセンサー上でコンソールが動作しています。管理PCをセンサーに接続することにより、コンソール操作が可能になります。
1つの工場内でしたら問題ありませんが、複数の工場が離れた場所にある場合、それぞれのコンソールに繋ぎ変えるのは大変です。
そこでDefender for IoTはクラウドに接続することにより、Azure Portalで複数のセンサーを統合管理することが可能です。
また、Azureポータルでアラートの集中管理も可能となります。
アラートはMicrosoft Sentinelでも解析ができますので、IT/OTを統合した監視システムの構築が可能となります。
詳細は、以下のMicrosoftサイトをご参照ください。
最後に
いかがでしたでしょうか。今回はOT環境で利用できるDefender for IoTの機能を網羅的に説明しています。
今回はご紹介していませんが、Defender for IoTには設定画面もあります。
Defender for IoTは小規模な工場に1台導入する程度でしたらデフォルト設定でも、ある程度動作するように出来ています。しかし、複数台導入するような案件ですとネットワーク設計から始まり、導入計画を立て、導入先に合わせた設定を行い、展開計画に沿って展開するという流れになります。また、導入後も定期的なバージョンアップなどが必要になります。
展開、運用には独自のノウハウが必要になりますので、ご興味がおありでしたら是非お声がけいただけますと幸いです。
~~ 連載記事一覧 ~~
執筆者情報
|
株式会社インフォメーション・ディベロプメント セキュリティ業務に従事して25年。セキュリティサービスの提案、構築を通して多くのお客様に携わり、近年は当社提供サービスの講演等を通して、プレゼンス向上に努めてまいりました。 |