サービスグラフ Connector for Microsoft Defender for IoT の構成 (オンプレミス管理コンソール)

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:9分

    • サービスグラフ Connector for Microsoft Defender for IoT (オンプレミス管理コンソール) のガイド付きセットアップを使用して、統合ステップを進めます。

    始める前に

    依存関係と要件:
    • 自動的にインストールされる Integration Commons for CMDB ストアアプリ。
    • 自動的にインストールされる CMDB CI Class Models
    • ITOMディスカバリーライセンスプラグイン (com.snc.itom.discovery.license)。このプラグインを有効にする必要があります。
    • ITOM Licensing プラグイン (com.snc.itom.license)。詳細については、「ディスカバリーの要求」を参照してください。
    • 自動的にインストールされる Datastream Action プラグイン (com.glide.hub.action_type.datastream)。

    必要なロール:admin

    注:
    以前のバージョンの サービスグラフ Connector for Microsoft Defender for IoT (オンプレミス管理コンソール) を使用している場合は、古いコネクタからデータを移行しないでください。以前のバージョンをアンインストールし、新しい統合を実行する必要があります。

    手順

    1. アプリケーションピッカーを使用して、アプリケーションスコープを サービスグラフ Connector for Microsoft Defender for IoT (オンプレミス管理コンソール) アプリケーションに設定します。
      詳細については、「Application picker」を参照してください。
    2. 次のように移動する。 All (すべて) > サービスグラフコネクタ Microsoft D4IoT > Guided Setup.
    3. [はじめに] ページで、[開始] を選択します。
    4. MID サーバーを設定するには、次の手順を実行します。
      1. [接続と認証情報のセットアップ] セクションで、[MID サーバーの構成] タスクを選択します。
      2. 説明にリンクされているMID サーバー構成を完了したら、[完了としてマーク] を選択します。
    5. 接続および資格情報エイリアスレコードを更新するには、次の手順を実行します。
      1. [接続および認証情報のセットアップ] セクションで、[接続および認証情報] タスクを選択します。
      2. [Configure] を選択します。
      3. デフォルトのレコード Microsoft D4IoT Base API を開きます。
      4. [接続] 関連リストから [ 新規 ] を選択して、新しい HTTP(S) 接続レコードを作成します。
      5. [ 接続 URL ] フィールドに、Microsoft Defender for IoT Central Manager の URL の名前を入力します。
        例: https://192.168.1.100
      6. オプション: MID サーバーを使用している場合は、次のすべてを選択します。
        • [MID サーバーを使用] ボックス
        • [MID サーバー詳細構成] 関連リストからの MID サーバー
        • リストからの MID の選択
      7. [ 認証情報 ] フィールドで、検索アイコンを選択して認証情報レコードリストを開きます。
      8. [新規] を選択して、新しいレコードを作成します。
      9. [API キー認証情報] タイプを選択します。
      10. [ API キー ] フィールドに、 Microsoft Defender for IoT 管理コンソールから提供された名前と API キーを入力します。
      11. [送信] を選択して認証情報レコードを作成します。
        Microsoft Defender for IoT管理コンソールで API キーを作成するには、Microsoft製品ドキュメントの https://docs.microsoft.com/en-us/azure/defender-for-iot/organizations/references-work-with-defender-for-iot-apis を参照してください。
      12. 接続フォームで、[ 送信 ] を選択して接続レコードの作成を終了します。
    6. 接続をテストするには、次の手順を実行します。
      1. [接続と資格情報のセットアップ] セクションで、[接続のテスト/検証] タスクを選択します。
      2. センサーのデータソースレコードの関連リンクセクションから [ テスト接続] UI アクションを選択します。
        接続テストが完了したら、結果を表示します。テスト結果が 「成功」を返すまで、推奨されるトラブルシューティング手順を実行する必要があります。
      3. 接続マネージャーに有効な証明書があることを確認してください。

        本番環境には有効な証明書をインストールする必要があります。非本番インスタンスまたは概念実証 (POC) インスタンスの場合、接続マネージャーに有効な証明書がない場合に統合が機能するようにシステムプロパティを構成できます。次の表に、非本番環境で構成できるシステムプロパティを示します。

        表 : 1. 非本番環境のシステムプロパティ
        プロパティ Value (値)
        com.glide.communications.httpclient.verify_hostname false に設定します。
        com.glide.communications.httpclient.verify_revoked_certificate false に設定します。

        このシステムプロパティを追加する必要がある場合は、「 システムプロパティの追加」を参照してください。
        com.glide.communications.trustmanager_trust_all true に設定します。
      4. MID セキュリティポリシーを確認します。
        イントラネットレコードで、次の表の列に指定された値が表示されていることを確認します。
        表 : 2. イントラネットレコード値
        Value (値)
        証明書チェーンチェック 誤り
        ホスト名チェック 誤り
        失効チェック 誤り

        詳細については、「MID サーバー証明書チェックポリシー」を参照してください。

        進行状況ウィンドウに完了コード「 成功」が表示され、処理されたレコードの数が 接続マネージャーで同じ数のセンサーとして表示される場合、接続は正しく設定されていることが示される。

    7. システムプロパティを設定するには、次の手順を実行します。
      1. [システムプロパティの構成] セクションで、[ 構成] を選択します。
      2. 次のシステムプロパティを構成します。
        プロパティ 説明
        sn_msftd4iotsgc.resourcepath.sensor センサーリソースパスを設定します。
        • センサーリソースパスは、V3 API バージョンにデフォルトで提供されます。
        • 別の API バージョンを使用する場合は、パスを上書きできます。
        sn_msftd4iotsgc.resourcepath.device
        • デバイスリソースパスは、V3 API バージョンにデフォルトで提供されます。
        • 別の API バージョンを使用する場合は、パスを上書きできます。
        sn_msftd4iotsgc.resourcepath.connection
        • 接続リソースパスは、V3 API バージョンにデフォルトで提供されます。
        • 別の API バージョンを使用する場合は、パスを上書きできます。
        sn_msftd4iotsgc.pagesize.device 各デバイスと接続 API のページごとに表示するレコードの数を入力します。デフォルト値:ページあたり 50 レコード
        sn_msftd4iotsgc.pagesize.connection
        • 接続および認証情報レコードの設定中に構成された Microsoft D4IoT Base API とは異なる接続エイリアスを使用する場合は、このプロパティフィールドにカスタム接続エイリアスレコードのsys_idを入力できます。
        • このプロパティのデフォルト値は空です。このプロパティフィールドを空白のままにすると、Microsoft D4IoT Base API 接続エイリアスがデフォルトで使用されます。
        sn_msftd4iotsgc.get_all_devices デバイスのすべてのレコードをフェッチするか、前回成功したインポートの開始時刻以降の新しいレコードのみをフェッチするかを選択します。
        注:
        デバイスを初めてインポートすると、このプロパティの設定に関係なく、すべてのレコードがインポートされます。
        sn_msftd4iotsgc.get_all_connections 接続のすべてのレコードをフェッチするか、 CMDB内で最後に成功したインポートの開始時刻以降の新しいレコードのみをフェッチするかを選択します。
        注:
        接続を初めてインポートすると、このプロパティの設定に関係なく、すべてのレコードがインポートされます。
        sn_msftd4iotsgc.ot.vr.integration.id Microsoft Defender for IoT 統合の サービスグラフオペレーショナルテクノロジー脆弱性対応 アプリケーションを使用している場合は、OT VR インポートレコードの sys ID を指定します。
        注:
        オペレーショナルテクノロジー脆弱性対応 プラグインがインストールされていて、このプロパティフィールドが空白のままになっている場合、レコードで [アクティブ] が true に設定されていれば、Microsoft D4IoT デバイス CVE 統合 (デルタインポート) が実行されます。
      3. [Save (保存)] をクリックする。
    8. センサーをインポートするには、次の手順を実行します。
      1. [センサーの構成 (NIDS)] セクションで、[センサーのインポート] タスクを選択します。
      2. [Configure] を選択します。
      3. [アクティブ] を選択して、スケジュール設定済みデータインポートジョブをアクティブにします。
    9. NIDS を構成するには、次の手順を実行します。
      1. [センサーの構成 (NIDS)] セクションで、[センサーのインポート] タスクを選択します。
      2. 説明にリンクされている NIDS 構成を完了したら、[ 完了としてマーク (Mark as complete )] を選択します。
    10. インポートスケジュールを設定するには、次の手順を実行します。
      1. [インポートスケジュールの構成] セクションで、[ 構成] を選択します。
      2. [SG-OT Microsoft D4IoT センサーのスケジュール済みインポート] を選択して、必要に応じてセンサーインポートスケジュールを確認または変更します。
        • デフォルトでは、センサーのインポートスケジュールは毎日深夜に実行されるように設定されています。
        • デバイスまたは接続をインポートする前にセンサーをインポートします。
      3. [アクティブ] を選択して、センサーインポートスケジュールをアクティブにします。
      4. [SG-OT Microsoft D4IoT デバイスのスケジュール済みインポート] を選択して、必要に応じてデバイスのインポートスケジュールを確認または変更します。
        • デフォルトでは、デバイスのインポートスケジュールは毎日深夜に実行されるように設定されています。
        • デバイスはセンサーによってクエリされます。サービスグラフコネクタは、検証済みセンサーによって検出されたデバイスを照会します。ネットワーク侵入検知システム (NIDS) アプライアンスの構成については、「 NIDS の検証」を参照してください。
      5. [アクティブ] を選択して、デバイスのインポートスケジュールをアクティブにします。
      6. [SG-OT Microsoft D4IoT 接続スケジュール済みインポート] を選択して、必要に応じて接続インポートスケジュールを確認または変更します。
        • デフォルトでは、接続のインポートスケジュールは、デバイスのインポートの実行後 (親の実行後) に実行されるように構成されています。
        • 接続は、両方のデバイス (Microsoft API の [送信元と宛先] または CMDB の [親と子]) が既に CMDB にある場合にのみインポートされます。
        • 接続をインポートする前にデバイスをインポートします。