サービスグラフ Connector for Microsoft Defender for IoT の構成 (オンプレミス管理コンソール)

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:9分

    • サービスグラフ Connector for Microsoft Defender for IoT (オンプレミス管理コンソール) のガイド付きセットアップを使用して、統合手順を進めます。

    始める前に

    依存関係と要件:
    • 自動的にインストールされる Integration Commons for CMDB ストアアプリ。
    • 自動的にインストールされる CMDB CI Class Models
    • ITOMディスカバリーライセンスプラグイン (com.snc.itom.discovery.license)。このプラグインを有効にする必要があります。
    • ITOM Licensing プラグイン (com.snc.itom.license)。詳細については、「ディスカバリーの要求」を参照してください。
    • 自動的にインストールされる Datastream Action プラグイン (com.glide.hub.action_type.datastream)。

    必要なロール:admin

    注:
    以前のバージョンの サービスグラフ Connector for Microsoft Defender for IoT (オンプレミス管理コンソール) がある場合は、古いコネクタからデータを移行しないでください。以前のバージョンをアンインストールし、新しい統合を実行する必要があります。

    手順

    1. アプリケーションピッカーを使用して、アプリケーションスコープが サービスグラフ Connector for Microsoft Defender for IoT (オンプレミス管理コンソール) アプリケーションに設定されていることを確認します。
      詳細については、「Application picker」を参照してください。
    2. 移動先 すべて > サービスグラフコネクタ Microsoft D4IoT > ガイド付きセットアップ.
    3. [はじめに] ページで、[開始] を選択します。
    4. MID サーバーを設定するには、次の手順を実行します。
      1. [接続と認証情報のセットアップ] セクションで、[MID サーバーを構成] タスクを選択します。
      2. 説明にリンクされているMID サーバー構成が完了したら、[完了としてマーク] を選択します。
    5. 接続および資格情報エイリアスレコードを更新するには、次の手順を実行します。
      1. [接続と認証情報のセットアップ] セクションで、[接続と認証情報] タスクを選択します。
      2. [構成] を選択します。
      3. デフォルトのレコード Microsoft D4IoT Base API を開きます。
      4. [接続] 関連リストから [新規 ] を選択して、新しい HTTP(s) 接続レコードを作成します。
      5. [ 接続 URL ] フィールドに、Microsoft Defender for IoT の Central Manager の URL の名前を入力します。
        たとえば、 https://192.168.1.100 などです。
      6. オプション: MID サーバーを使用している場合は、次のすべてを選択します。
        • [MID サーバーを使用 ] ボックス
        • [MID サーバー詳細構成] 関連リストの MID サーバー
        • リストからの MID 選択
      7. [ 認証情報] フィールドで、検索アイコンを選択して認証情報レコードリストを開きます。
      8. [新規] を選択して、新しいレコードを作成します。
      9. API キー認証情報タイプを選択します。
      10. [ API キー ] フィールドに、 Microsoft Defender for IoT 管理コンソールから提供された名前と API キーを入力します。
      11. [送信] を選択して認証情報レコードを作成します。
        Microsoft Defender for IoT管理コンソールでAPIキーを作成するには、Microsoft製品ドキュメントの https://docs.microsoft.com/en-us/azure/defender-for-iot/organizations/references-work-with-defender-for-iot-apis を参照してください。
      12. [接続] フォームで、[ 送信 ] を選択して接続レコードの作成を終了します。
    6. 接続をテストするには、次の手順を実行します。
      1. [接続と認証情報のセットアップ] セクションで、[接続のテスト/検証] タスクを選択します。
      2. センサーのデータソースレコードの関連リンクセクションから [ テスト接続 ] UI アクションを選択します。
        接続テストが完了したら、結果を表示します。テスト結果が 「成功」を返すまで、提案されたトラブルシューティング手順を実行する必要があります。
      3. 接続マネージャーに有効な証明書があることを確認してください。

        本番環境には有効な証明書をインストールする必要があります。非本番インスタンスまたは概念実証 (POC) インスタンスの場合、接続マネージャーに有効な証明書がない場合に統合が機能するようにシステムプロパティを構成できます。次の表に、非本番環境で構成できるシステムプロパティを示します。

        表 : 1. 非本番環境のシステムプロパティ
        プロパティ
        com.glide.communications.httpclient.verify_hostname false に設定します。
        com.glide.communications.httpclient.verify_revoked_certificate false に設定します。

        このシステムプロパティを追加する必要がある場合は、「 システムプロパティの追加」を参照してください。
        com.glide.communications.trustmanager_trust_all true に設定します。
      4. MID セキュリティポリシーを確認します。
        イントラネットレコードで、次の表の列に指定した値が表示されていることを確認します。
        表 : 2. イントラネットレコード値
        証明書チェーンチェック false
        ホスト名チェック false
        失効チェック false

        詳細については、「MID サーバー証明書チェックポリシー」を参照してください。

        進行状況ウィンドウに完了コード [成功] が表示され、処理されたレコードの数が 接続マネージャー 内のセンサーの数と同じ数として表示される場合、接続は正しく設定されていることを示しています。

    7. システムプロパティを設定するには、次の手順を実行します。
      1. [システムプロパティの構成] セクションで、[ 構成] を選択します。
      2. 次のシステムプロパティを設定します。
        プロパティ Description (説明)
        sn_msftd4iotsgc.resourcepath.sensor センサーリソースパスを設定します。
        • センサーリソースパスは、V3 API バージョン用にデフォルトで提供されます。
        • 別の API バージョンを使用する場合は、パスを上書きできます。
        sn_msftd4iotsgc.resourcepath.device
        • デバイスのリソースパスは、V3 API バージョンに対してデフォルトで提供されます。
        • 別の API バージョンを使用する場合は、パスを上書きできます。
        sn_msftd4iotsgc.resourcepath.connection
        • 接続リソースパスは、V3 API バージョン用にデフォルトで提供されます。
        • 別の API バージョンを使用する場合は、パスを上書きできます。
        sn_msftd4iotsgc.pagesize.device 各デバイスおよび接続 API の 1 ページに表示するレコードの数を入力します。デフォルト値:ページあたり 50 レコード
        sn_msftd4iotsgc.pagesize.connection
        • 接続および認証情報レコードの設定時に構成された Microsoft D4IoT Base API とは異なる接続エイリアスを使用する場合は、このプロパティフィールドにカスタム接続エイリアスレコードのsys_idを入力できます。
        • このプロパティのデフォルト値は空です。このプロパティフィールドを空白のままにすると、Microsoft D4IoT ベース API 接続エイリアスがデフォルトで使用されます。
        sn_msftd4iotsgc.get_all_devices デバイスのすべてのレコードをフェッチするか、前回成功したインポートの開始時刻以降の新しいレコードのみをフェッチするかを選択します。
        注:
        初めてデバイスをインポートすると、このプロパティの設定に関係なく、すべてのレコードがインポートされます。
        sn_msftd4iotsgc.get_all_connections 接続のすべてのレコードをフェッチするか、 CMDBで最後に成功したインポートの開始時刻以降の新しいレコードのみをフェッチするかを選択します。
        注:
        初めて接続をインポートするときは、このプロパティの設定に関係なく、すべてのレコードがインポートされます。
        sn_msftd4iotsgc.ot.vr.integration.id サービスグラフ for Microsoft Defender for IoT 統合で オペレーショナルテクノロジー脆弱性対応 アプリケーションを使用している場合は、OT VR インポートレコードの Sys ID を指定します。
        注:
        オペレーショナルテクノロジー脆弱性対応 プラグインがインストールされていて、このプロパティフィールドが空白のままになっている場合、レコードで [アクティブ] が [true] に設定されていれば、Microsoft D4IoT デバイス CVE 統合 (デルタインポート) が実行されます。
      3. [保存] を選択します。
    8. センサーをインポートするには、次の手順を実行します。
      1. [センサーの構成 (NIDS)] セクションで、[センサーのインポート] タスクを選択します。
      2. [構成] を選択します。
      3. [ アクティブ ] を選択して、スケジュール設定済みデータインポートジョブをアクティブにします。
    9. NIDS を構成するには、以下のステップを実行します。
      1. [センサーの構成 (NIDS)] セクションで、[センサーのインポート] タスクを選択します。
      2. 説明にリンクされている NIDS 構成が完了したら、[ 完了としてマーク ] を選択します。
    10. インポートスケジュールを設定するには、次の手順を実行します。
      1. [Configure Import Schedules] セクションで、[ Configure] を選択します。
      2. [SG-OT Microsoft D4IoT センサーのスケジュール済みインポート] を選択し、必要に応じてセンサーのインポートスケジュールを確認または変更します。
        • デフォルトでは、センサーインポートスケジュールは毎日深夜に実行されるように設定されています。
        • デバイスまたは接続をインポートする前に、センサーをインポートしてください。
      3. [ アクティブ ] を選択して、センサーインポートスケジュールをアクティブ化します。
      4. [ SG-OT Microsoft D4IoT デバイスインポートスケジュール済み (SG-OT Microsoft D4IoT Devices Scheduled Import )] を選択し、必要に応じてデバイスインポートスケジュールを確認または変更します。
        • デフォルトでは、デバイスのインポートスケジュールは毎日深夜に実行されるように設定されています。
        • デバイスがセンサーによって照会されます。サービスグラフコネクタは、検証済みのセンサーによって検出されたデバイスを照会します。ネットワーク侵入検知システム (NIDS) アプライアンスの構成については、「 NIDS の検証」を参照してください。
      5. [ アクティブ ] を選択して、デバイスのインポートスケジュールをアクティブ化します。
      6. [ SG-OT Microsoft D4IoT 接続インポートスケジュール済みインポート (SG-OT Microsoft D4IoT Connections Scheduled Import )] を選択して、必要に応じて接続インポートスケジュールを確認または変更します。
        • デフォルトでは、接続インポートのスケジュールは、デバイスのインポートが実行された後 (親の実行後) に実行されるように構成されています。
        • 接続は、両方のデバイス (Microsoft API のソースと宛先、または CMDB の親と子) が既に CMDB にある場合にのみインポートされます。
        • 接続をインポートする前にデバイスをインポートします。