大事な
Defender for IoT では、中央監視とセンサー管理に Microsoft クラウド サービスまたは既存の IT インフラストラクチャを使用することが推奨されるようになりました。
詳細については、「ハイブリッドまたはエアギャップ OT センサー管理をデプロイする」を参照してください。
Microsoft Defender for IoT アラートは、ネットワークに記録されたイベントに関するリアルタイムの詳細を使用して、ネットワークのセキュリティと運用を強化します。 OT アラートは、OT ネットワーク センサーが、注意が必要なネットワーク トラフィックの変更または疑わしいアクティビティを検出したときにトリガーされます。
この記事では、オンプレミス管理コンソールで Defender for IoT アラートを表示する方法について説明します。これにより、接続されているすべての OT センサーからのアラートが集計されます。 また、Azure portal または OT ネットワーク センサーで OT アラートを表示することもできます。
前提 条件
この記事の手順を実行する前に、次の項目があることを確認してください。
オンプレミス管理コンソール のインストール、アクティブ化、および構成。 場所またはゾーン別にアラートを表示するには、オンプレミス管理コンソールでサイトとゾーン 構成
していることを確認します。 1 つ以上の OT センサーがインストールされ、構成され、アクティブ化され、オンプレミス管理コンソールに接続されています。 ゾーンごとのアラートを表示するには、各センサーが特定のゾーンに割り当てられていることを確認します。
次のいずれかの ユーザー ロールを使用して、オンプレミス管理コンソールにアクセス。
オンプレミス管理コンソールのアラートを表示するには、管理者、Security Analyst、または Viewer ユーザーとしてサインインします。
オンプレミス管理コンソールでアラートを管理するには、 管理者 またはセキュリティアナリスト ユーザーとしてサインインしてください。 管理アクティビティには、アラートの種類に応じて、アラートの確認またはミュートが含まれます。
オンプレミス管理コンソールでアラートを表示する
オンプレミス管理コンソールにサインインし、左側のメニュー [アラート] を選択します。
アラートは単純なテーブルに表示され、アラートとアラートの詳細をトリガーしたセンサーが 2 つの列に表示されます。
アラート行を選択して、その完全な詳細を展開します。
展開されたアラート行で、次のいずれかの操作を行って、アラートに関するより多くのコンテキストを表示します。
「」センサーを選択して、アラートを生成したセンサーを開き、調査を続行します。 詳細については、「OT センサーでのアラートの表示と管理」を参照してください。
SHOW DEVICES を選択して、影響を受けるデバイスをゾーン マップに表示します。 詳細については、「オンプレミス管理コンソールでの OT サイトとゾーンの作成」を参照してください。
手記
オンプレミス管理コンソールでは、新しい アラートは未確認と呼ばれ、クローズド アラートは確認済みと呼ばれます。 詳細については、「アラートの状態とトリアージ オプション」を参照してください。
表示されるアラートをフィルター処理する
アラート ページの上部で、無料検索、サイト、ゾーン、デバイス、センサーの オプションを使用して、特定のパラメーターで表示されるアラートをフィルター処理したり、特定のアラートを見つけるのに役立ちます。
確認済みアラート は、既定では表示されません。 [確認済みアラートの表示]を選択して、一覧に含める。
クリア を選択して、すべてのフィルターを解除します。
場所別にアラートを表示する
グローバル ネットワーク全体で接続されている OT センサーからのアラートを表示するには、オンプレミス管理コンソールで Enterprise View マップを使用します。
オンプレミス管理コンソールにサインインし、Enterprise View
選択します。 既定のマップ ビューには、世界中のサイトの場所が表示されます。 (省略可能) ページの上部にある [すべてのサイト ] メニューおよび [すべてのリージョン ] メニューを使用して、マップをフィルタリングし、特定のサイトのみまたは特定のリージョンのみを表示します。
ページの上部にある 既定のビュー メニューから、次のいずれかを選択して、特定の種類のアラートにドリルダウンします。
- リスク管理。 サイト リスク アラートを強調表示し、軽減アクティビティの優先順位付けとセキュリティの強化の計画に役立ちます。
- インシデント対応 各サイトのアクティブな (未確認の) アラートが強調表示されます。
- 悪意のあるアクティビティ。 マルウェア アラートを強調表示します。このアラートには直ちに対処する必要があります。
- 操作アラート。 PLC の停止やファームウェアやプログラムのアップロードなど、運用上のアラートを強調表示します。
既定のビュー以外のビューでは、サイトは赤、黄、緑で表示されます。 赤いサイトには、直ちに対処する必要があるアラートがあり、黄色のサイトには調査を正当化するアラートがあり、緑のサイトには何のアクションも必要ありません。
赤または黄色のサイトを選択し、特定の OT センサーの [
アラート] ボタンを選択して、そのセンサーの現在のアラートにジャンプします。 例えば:![[アラート] ボタンを示すスクリーンショット。](../media/how-to-work-with-alerts-on-premises-management-console/select-alerts-button.png)
アラート ページが開き、選択されたアラートに自動的にフィルターがかかります。
ゾーン別にアラートを表示する
特定のゾーンの接続されている OT センサーからのアラートを表示するには、オンプレミス管理コンソールの Site Management ページを使用します。
オンプレミス管理コンソールにサインインし、Site Management
選択します。 必要に応じて上部にあるフィルターオプションを使用して、表示するサイトとゾーンを見つけます。
- 接続: すべての OT センサーのみを表示するか、接続/切断されたセンサーのみを表示するように選択します。
- アップグレードステータス:すべてのOTセンサーを表示するか、特定の ソフトウェアアップデートステータスを持つものを選択します。
- 部署: すべての OT センサーを表示するか、特定の部署ののみを表示するように選択します。
- リージョン: すべての OT センサーを表示するか、特定のリージョンのセンサーのみを表示。
特定の OT センサーの [
アラート] ボタンを選択して、そのセンサーの現在のアラートにジャンプします。
アラートの状態とトリアージ アラートを管理する
アラートの種類に応じて、オンプレミスの管理コンソールでアラートの状態を管理するには、次のオプションを使用します。
アラートを確認または未確認にするには:展開されたアラート行で、必要に応じて [確認] または [未確認] を選択します。
アラートの をミュートまたはミュート解除するには: 展開されたアラート行で、行の上部にマウス ポインターを合わせ、[ミュート] ボタンを選択するか、必要に応じて [ のミュート解除] ボタンをします。
詳細については、「アラートの状態とトリアージ オプション」を参照してください。
アラートを CSV ファイルにエクスポートする
オフライン共有とレポートのために、選択したアラートを CSV ファイルにエクスポートできます。
オンプレミス管理コンソールにサインインし、アラート ページを選択します。
検索とフィルター オプションを使用して、エクスポートするアラートのみを表示します。
エクスポートを選択します。
CSV ファイルが生成され、ローカルに保存するように求められます。
次の手順
Azure portal からアラートを表示および管理する
OT センサー でアラートを表示および管理する