Defender for IoT とは
IoT(Internet of Things) や OT(Operational Technology) の領域にも Microsoft のセキュリティ ソリューションがあります。それが Defender for IoT。細かい説明は公式のページに譲ります。
日本の会社でも IoT / OT 環境へのセキュリティへの意識が高まってきている事を感じてきたので、検証できる環境を作ろうと思います。
環境概要
Defender for IoT は、OT 機器のネットワーク スイッチからポート ミラーリングを行い、その通信情報をセンサー マシン(アプライアンス)で取り込む方式となります。以下の図で真ん中にある Defender for IoT Network Sensor がそのセンサー マシン(アプライアンス)となります。
今回はこのセンサーを仮想アプライアンスとして Hyper-V で構成します。
構成手順
公開情報の手順
OT 監視用のデプロイ情報は公開情報にあります。
今回は検証環境としてのセンサー構築のため以下の手順で進めます。
- 試用版ライセンスの有効化
- 仮想アプライアンスのインストール
- ネットワーク設定
- センサーのオンボーディング
- テストデータの取り込み
1.試用ライセンスの有効化と OT プランの追加
最初に検証テナントで Defender for IoT の試用版ライセンスを公開情報の手順通り有効化します。
公開情報の手順にに記載のある、試用版ウィザードから、検証用テナントのアカウントで試用版ライセンスを有効化します。
次に Azure 上で OT プランの追加の設定を行います。Azure Portal で Defender for IoT のページを開き、 「Plan and Pricing(プランと価格)」に移動します。公開情報にある通り、先ほど有効化した検証版ライセンスで OT プランを追加します。
追加されると以下のような画面になります。
2.仮想アプライアンスのインストール
次にセンサーをインストールするため、Azure Portal からセンサー ソフトウェア(ISO)をダウンロードします。
「Getting Started」の画面から、「センサー」タブを選択していただくと、画面右のダウンロードボタンからセンサー ソフトウェア(ISO)をダウンロードできます。今回は最新の 24.1.5 のバージョンでダウンロードを行いました。
インストーラーのサイズは 2.7 GB と大きいので、ダウンロード完了まで気長に待ちましょう。
Hyper-V で仮想マシンの新規作成を行います。作成時のポイントは以下の通りです。
- 第1世代を選択しましょう。以下の公開情報では第2世代が推奨されていましたが、私の環境の CPU アーキテクチャのせいか不明ですが、第2世代は正しくインストーラーが読み込まれませんでした。そのため第1世代向けの手順で今回は行います。
- ネットワークの構成で設定するネットワーク アダプターはホスト OS から管理画面に接続するのであれば、Default Switch 等、ホスト OS から接続可能で、インターネットに通信できるようなアダプターを選択しておくことが推奨です。
- ダウンロードしたインストーラーの ISO ファイルをブート用のイメージ ファイルとしてセットします。また、公開情報の手順にもある通り、ブート デバイスのチェック順序を IDE を一番優先し、CD をその後の優先になるようにしましょう。(CD が一番優先されるとインストール処理が繰り返し発生してしまいます。)
上記設定ができれば作成した仮想マシンを起動します。自動的にセンサーのインストールが走り、少し待てば以下の通り login の画面が表示されるようになります。
3.ネットワーク セットアップ
作成した仮想アプライアンスは最初以下のネットワーク設定になります。当然以下の設定でネットワークがつながれば(デフォルト ゲートウェイがあれば)正しく接続できますが、基本的にはそのまま動かないと思うので、ネットワークの構成が必要になります。
IP: 192.168.0.101,
SUBNET: 255.255.255.0,
GATEWAY: 192.168.0.1
Hyper-V から仮想マシンに接続し、コンソール画面からログインします。ログインのユーザー名と初期パスワードは以下の公開情報にもある通り、
- ユーザー名:admin
- パスワード:admin
になっていますので、こちらをコンソール画面から入力します。(手順ではブラウザでアクセスしていますが、上記のデフォルトのネットワーク設定ではつながらない場合がほとんどだと思います。)
正しく入力すると、新しいパスワードの設定が求められますので、設定してください。(大文字、小文字、数字、記号を含むパスワードの必要があります。)
初回設定時はおそらく以下の画面が表示されます。表示されない場合は network reconfigure というコマンドを打つことで再設定可能です。
この画面で、その環境で適切な IP アドレス、デフォルト ゲートウェイ、DNS サーバーを設定しましょう。設定は各環境で異なりますので、自身の環境で正しい設定を確認しましょう。(Management のインターフェースで設定を行います。)
正しくホスト OS からルーティング可能な設定を行えれば、設定した IP アドレスにブラウザでアクセスすることで、センサーの管理コンソールにアクセスできるようになります。(SSL 証明書の警告が発生しますが無視して進んでください。)
4.センサーのオンボーディング
正しくブラウザでセンサー環境にアクセスできるようになったら、admin のアカウントでログインします。
ブラウザでの初回ログイン時にオンボーディングの処理が必要になります。手順は以下の公開情報も参照。途中でアクティベーションのためのファイルが必要になります。
オンボーディングのためのアクティベーション ファイルを Azure Portal から入手します。
「OT/ICS セキュリティの設定」をクリックします。
以下の画面から、センサー名を入力、OT プランを追加したサブスクリプションを選択し、任意のサイトのリソース名とゾーンを作成します。作成すると ZIP ファイルをダウンロードできます。
センサーのブラウザのログインの以下画面で、ZIP ファイルをアップロードし、利用規約(terms and conditions)の承諾のチェックボックスにチェックをつけて、Activate ボタンをクリックします。
最後に証明書の設定のページがありますのでお好みの設定をしてください。あとからも設定変更できますので、検証としては "Use Locally generated self-signed certificate(Not recommended)" でも問題ありません。
以下の画面が表示されればセンサーのオンボードが正常に完了しました。
5.テストデータの取り込み
最後にテスト データを取り込みます。センサーへブラウザからアクセスし、[System setteings] > [Play PCAP] から PCAP ファイルを取り込むことが可能です。
PCAP ファイルのサンプルは以下の GitHub リポジトリで公開されていたりしますので、PCAP ファイルが無ければこれらをテストで取り込んでみてください。
もちろん自身の環境で取得できる PCAP ファイルがあればそれを使ってもいいですし、ちゃんとモニター インターフェース側に、IoT デバイスからの通信をポート ミラーリングで取れるようにしていただいても大丈夫です。
まとめ
Defender for IoT のセンサーの検証用に Hyper-V に構成する手順を作りました。手元で簡単に検証環境として構成できますし、PCAP ファイルを取得できれば、実際の環境のデータを試しに入れてみてみるという事もできますので PoC として構成してデータを見てみるという事にも使えるかと思いますので、気になっている方は是非試してみていただければと思います。
検証をしてみて躓きやすい点や注意するべきポイントが見えてきましたら、また別の記事としてまとめたいと思います。
Discussion