Microsoft Defender for IoT 경고
Microsoft Defender for IoT 경고는 네트워크에 기록된 이벤트와 관련된 실시간 세부 정보로 네트워크 보안 및 운영을 강화합니다. OT 네트워크 센서가 네트워크 트래픽에서 주의를 기울여야 하는 변경 내용 또는 의심스러운 활동을 탐지하면 경고가 트리거됩니다.
예시:
경고 페이지 또는 경고 세부 정보 페이지에 표시된 세부 정보를 사용하여 관련 디바이스 또는 경고를 실행한 네트워크 프로세스로 인한 네트워크 위험을 조사하고 수정하는 조치를 취합니다.
팁
경고 수정 단계에서 SOC 팀이 가능한 문제와 수정 방법을 이해하도록 돕습니다. 경고 상태를 업데이트하거나 디바이스 또는 네트워크에 대한 조치를 취하기 전에 권장 수정 단계를 검토하는 것이 좋습니다.
경고 관리 옵션
Defender for IoT 경고는 Azure Portal, OT 네트워크 센서 콘솔 및 온-프레미스 관리 콘솔에서 사용할 수 있습니다. Enterprise IoT 보안을 사용하면 Microsoft 365 Defender의 엔드포인트용 Defender에서 검색된 Enterprise IoT 디바이스에 대한 경고도 사용할 수 있습니다.
경고 세부 정보를 보고, 경고 컨텍스트를 조사하고, 이러한 위치 중 하나에서 경고 상태를 심사 및 관리할 수 있지만 각 위치에서는 추가 경고 작업도 제공합니다. 다음 표에서는 각 위치에 대해 지원되는 경고와 해당 위치에서만 사용할 수 있는 추가 작업에 대해 설명합니다.
위치 | 설명 | 추가 경고 작업 |
---|---|---|
Azure Portal | 클라우드에 연결된 모든 OT 센서의 경고 | - 관련 MITRE ATT&CK 전술 및 기법 보기 - 우선 순위가 높은 경고에 대한 표시 여부를 위해 기본 제공 통합 문서 사용 - Microsoft Sentinel의 경고를 보고 Microsoft Sentinel 플레이북 및 통합 문서를 사용하여 심층적인 조사를 실행합니다. |
OT 네트워크 센서 콘솔 | 해당 OT 센서에서 생성된 경고 | - 디바이스 맵에서 경고의 원본과 대상을 봅니다. - 이벤트 타임라인의 관련 이벤트 보기 - 파트너 공급업체에 직접 경고 전달 - 경고 주석 만들기 - 사용자 지정 경고 규칙 만들기 - 경고 취소 |
온-프레미스 관리 콘솔 | 연결된 OT 센서에 의해 생성된 경고 | - 파트너 공급업체에 직접 경고 전달 - 경고 제외 규칙 만들기 |
Microsoft 365 Defender | 엔드포인트용 Microsoft Defender에서 검색한 Enterprise IoT 디바이스에 대해 생성된 경고 | - 고급 헌팅을 포함하여 다른 Microsoft 365 Defender 데이터와 함께 경고 데이터를 관리합니다. |
팁
동일한 형식, 상태, 경고 프로토콜 및 관련 디바이스를 사용하여 10분 이내에 동일한 영역에 있는 여러 센서에서 생성된 모든 경고는 단일 통합 경고로 나열됩니다.
- 10분의 시간 프레임은 경고의 첫 번째 검색 시간 프레임을 기준으로 합니다.
- 단일 통합 경고에는 경고를 검색한 모든 센서가 나열됩니다.
- 경고는 디바이스 프로토콜이 아닌 경고 프로토콜을 기반으로 결합됩니다.
자세한 내용은 다음을 참조하세요.
경고 옵션도 위치와 사용자 역할에 따라 다릅니다. 자세한 내용은 Azure 사용자 역할 및 권한과 온-프레미스 사용자 및 역할을 참조하세요.
OT/IT 환경의 포커스된 알림
OT 네트워크와 IT 네트워크 사이에 센서를 배포한 조직은 OT 및 IT 트래픽과 관련된 많은 알림을 처리합니다. 관련 없는 알림이 너무 많으면 알림 피로를 유발하고 전반적인 성능에 영향을 줄 수 있습니다. 이러한 문제를 해결하기 위해 Defender for IoT의 탐지 정책은 다양한 알림 엔진을 조정하여 비즈니스에 미치는 영향과 OT 네트워크와의 관련성이 있는 알림에 집중하고 가치가 낮은 IT 관련 알림을 줄입니다. 예를 들어, 권한 없는 인터넷 연결 알림은 OT 네트워크에서는 관련성이 높지만 IT 네트워크에서는 상대적으로 가치가 낮습니다.
이러한 환경에서 트리거되는 알림에 집중하기 위해 멀웨어 엔진을 제외한 모든 알림 엔진은 관련 OT 서브넷 또는 프로토콜을 감지하는 경우에만 알림을 트리거합니다. 그러나 중요한 시나리오를 나타내는 경고 트리거를 유지하려면 다음을 수행합니다.
- 맬웨어 엔진은 경고가 OT 또는 IT 디바이스와 관련이 있는지 여부에 관계없이 맬웨어 알림을 트리거합니다.
- 다른 엔진에는 중요한 시나리오에 대한 예외가 포함됩니다. 예를 들어 운영 엔진은 경고가 OT 또는 IT 트래픽과 관련이 있는지 여부에 관계없이 센서 트래픽과 관련된 알림을 트리거합니다.
하이브리드 환경에서 OT 경고 관리
하이브리드 환경에서 작업하는 사용자는 Azure Portal, OT 센서 및 온-프레미스 관리 콘솔의 Defender for IoT에서 OT 경고를 관리할 수 있습니다.
참고 항목
센서 콘솔에서 경고의 마지막 검색 필드를 실시간으로 표시하는 동안 Azure Portal의 Defender for IoT는 업데이트된 시간을 표시하는 데 최대 1시간이 걸릴 수 있습니다. 센서 콘솔의 마지막 검색 시간이 Azure Portal의 마지막 검색 시간과 같지 않은 시나리오를 설명합니다.
그렇지 않으면 경고 상태는 Azure Portal과 OT 센서, 센서와 온-프레미스 관리 콘솔 간에 완전히 동기화됩니다. 즉, Defender for IoT에서 경고를 관리하는 위치에 관계없이 다른 위치에서도 경고가 업데이트됩니다.
센서 또는 온-프레미스 관리 콘솔에서 경고 상태를 종료됨 또는 음소거로 설정하면 Azure Portal에서 경고 상태가 종료됨으로 업데이트됩니다. 온-프레미스 관리 콘솔에서는 종료됨 경고 상태를 승인됨이라고 합니다.
팁
Microsoft Sentinel을 사용하는 경우 Microsoft Sentinel과 경고 상태를 동기화하도록 통합을 구성한 다음 관련 Microsoft Sentinel 인시던트와 함께 경고 상태를 관리하는 것이 좋습니다.
자세한 내용은 자습서: IoT 디바이스에 대한 위협 조사 및 검색을 참조하세요.
Enterprise IoT 경고 및 엔드포인트용 Microsoft Defender
Microsoft 365 Defender에서 Enterprise IoT 보안을 사용하는 경우 엔드포인트용 Microsoft Defender에서 검색한 Enterprise IoT 디바이스에 대한 경고는 Microsoft 365 Defender에서만 사용할 수 있습니다. 엔드포인트용 Microsoft Defender의 많은 네트워크 기반 검색은 관리 엔드포인트와 관련된 검사에 의해 트리거되는 경고와 같은 엔터프라이즈 IoT 디바이스와 관련됩니다.
자세한 내용은 엔터프라이즈의 IoT 디바이스 보안 및 Microsoft 365 Defender의 경고 큐를 참조하세요.
OT 경고 워크플로 가속화
최초 검색 후 90일 동안 동일한 트래픽이 검색되지 않으면 새 경고가 자동으로 닫힙니다. 처음 90일 이내에 동일한 트래픽이 검색되면 90일 카운트가 다시 설정됩니다.
기본 동작 외에도 SOC 및 OT 관리 팀이 경고를 더 빠르게 심사하고 수정하도록 도울 수 있습니다. 다음 옵션을 사용하려면 OT 센서 또는 온-프레미스 관리 콘솔에 관리자 사용자로 로그인합니다.
사용자 지정 경고 규칙을 만듭니다. OT 센서만 해당됩니다.
사용자 지정 경고 규칙을 추가하여 기본 기능이 적용되지 않는 네트워크의 특정 활동에 대한 경고를 트리거합니다.
예를 들어 특정 IP 주소 및 이더넷 대상에서 메모리 레지스터에 기록된 명령을 검색하기 위해 MODBUS를 실행하는 환경에 대한 규칙을 추가할 수 있습니다.
자세한 내용은 OT 센서에서 사용자 지정 경고 규칙 만들기를 참조하세요.
경고 주석 만들기. OT 센서만 해당됩니다.
사용자 지정 완화 단계, 다른 팀 멤버와의 통신, 이벤트에 대한 기타 인사이트이나 경고와 같은 세부 정보를 포함하여 다른 OT 센서 사용자가 개별 경고에 추가할 수 있는 경고 설명 집합을 만듭니다.
팀 멤버는 경고 상태를 심사하고 관리할 때 이러한 사용자 지정 설명을 재사용할 수 있습니다. 경고 설명은 경고 세부 정보 페이지의 설명 영역에 표시됩니다. 예시:
자세한 내용은 OT 센서에 대한 경고 설명 만들기를 참조하세요.
경고 제외 규칙 만들기: 온-프레미스 관리 콘솔에만 해당됩니다.
온-프레미스 관리 콘솔을 사용하는 경우 특정 기준을 충족하는 여러 센서에서 이벤트를 무시하도록 경고 제외 규칙을 정의합니다. 예를 들어, 특정 유지 관리 기간 동안 관련 없는 경고를 트리거하는 모든 이벤트를 무시하는 경고 제외 규칙을 만들 수 있습니다.
제외 규칙에 의해 무시되는 경고는 Azure Portal, 센서 또는 온-프레미스 관리 콘솔이나 이벤트 로그에 표시되지 않습니다.
자세한 내용은 온-프레미스 관리 콘솔에서 경고 제외 규칙 만들기를 참조하세요.
경고 데이터를 파트너 시스템으로 전달하여 파트너 SIEM, syslog 서버, 지정된 이메일 주소 등으로 전달합니다.
OT 센서와 온-프레미스 관리 콘솔 모두에서 지원됩니다. 자세한 내용은 전달 경고 정보를 참조하세요.
경고 상태 및 분류 옵션
다음 경고 상태 및 분류 옵션을 사용하여 Defender for IoT 전체에서 경고를 관리합니다.
경고를 분류할 때 일부 경고는 권한이 있는 디바이스가 다른 디바이스의 새 리소스에 액세스하려고 시도하는 등 유효한 네트워크 변경 내용을 반영할 수 있다는 점을 고려합니다.
OT 센서 및 온-프레미스 관리 콘솔의 분류 옵션은 OT 경고에만 사용할 수 있지만 Azure Portal에서 사용할 수 있는 옵션은 OT 및 Enterprise IoT 경고 모두에 사용할 수 있습니다.
다음 표를 사용하여 각 경고 상태 및 심사 옵션에 대해 자세히 알아봅니다.
상태/심사 작업 | 사용 가능한 날짜 | 설명 |
---|---|---|
New | - Azure Portal - OT 네트워크 센서 - 온-프레미스 관리 콘솔 |
새 경고는 팀에서 아직 심사하거나 조사하지 않은 경고입니다. 동일한 디바이스에 대해 검색된 새 트래픽은 새 경고를 생성하지 않고 기존 경고에 추가됩니다. 온-프레미스 관리 콘솔에서는 신규 경고를 승인되지 않음이라고 합니다. 참고: 이름이 같은 여러 개의 신규 또는 승인되지 않음 경고가 표시될 수 있습니다. 이러한 경우 각각의 개별 경고는 서로 다른 디바이스 집합에서 별도의 트래픽에 의해 트리거됩니다. |
진행 중 | - Azure Portal만 | 조사가 진행 중이지만 아직 경고를 종료하거나 심사할 수 없음을 나타내려면 경고를 활성으로 설정합니다. 이 상태는 Defender for IoT의 다른 곳에는 영향을 주지 않습니다. |
닫힘 | - Azure Portal - OT 네트워크 센서 - 온-프레미스 관리 콘솔 |
완전히 조사되었으며 다음에 동일한 트래픽이 검색될 때 다시 경고를 받고자 함을 나타내려면 경고를 닫습니다. 경고를 닫으면 센서 이벤트 타임라인에 추가됩니다. 온-프레미스 관리 콘솔에서는 신규 경고를 승인됨이라고 합니다. |
Learn | - Azure Portal - OT 네트워크 센서 - 온-프레미스 관리 콘솔 경고 학습 해제는 OT 센서에서만 가능합니다. |
경고를 닫고 허용된 트래픽으로 추가하려는 경우 경고를 학습하여 다음에 동일한 트래픽이 검색될 때 다시 경고를 받지 않도록 합니다. 예를 들어, 센서가 표준 유지 관리 절차에 따라 펌웨어 버전 변경을 검색하거나 예상되는 새 디바이스가 네트워크에 추가되는 경우입니다. 경고를 학습하면 경고가 닫히고 센서 이벤트 타임라인에 항목이 추가됩니다. 검색된 트래픽은 데이터 마이닝 보고서에 포함되지만 다른 OT 센서 보고서를 계산할 때는 포함되지 않습니다. 학습 경고는 선택된 경고(주로 정책 및 변칙 엔진 경고에 의해 트리거됨)에만 사용할 수 있습니다. |
음소거 | - OT 네트워크 센서 - 온-프레미스 관리 콘솔 경고 음소거 해제는 OT 센서에서만 가능합니다. |
경고를 닫고 동일한 트래픽에 대해 다시 표시하지 않으려는 경우 경고를 음소거하지만 경고 허용 트래픽을 추가하지 않습니다. 예를 들어, 작동 엔진이 디바이스에서 PLC 모드가 변경되었음을 나타내는 경고를 트리거하는 경우입니다. 새 모드는 PLC가 안전하지 않다는 것을 나타낼 수 있지만 조사 후에는 새 모드가 허용 가능한 것으로 결정됩니다. 경고를 음소거하면 경고가 닫히지만 센서 이벤트 타임라인에 항목이 추가되지는 않습니다. 검색된 트래픽은 데이터 마이닝 보고서에 포함되지만 다른 센서 보고서에 대한 데이터를 계산할 때는 포함되지 않습니다. 경고 음소거는 선택된 경고(주로 변칙, 프로토콜 위반 또는 운영 엔진에 의해 트리거된 경고)에만 사용할 수 있습니다. |
팁
유지 관리 기간 등 어떤 이벤트가 관련성이 없는지 미리 알고 있거나 이벤트 타임라인에서 이벤트를 추적하지 않으려는 경우 대신 온-프레미스 관리 콘솔에서 경고 제외 규칙을 만듭니다.
자세한 내용은 온-프레미스 관리 콘솔에서 경고 제외 규칙 만들기를 참조하세요.
학습 모드 중 OT 경고 심사
학습 모드는 OT 센서가 배포된 후 초기 기간을 의미하며, OT 센서가 네트워크의 디바이스 및 프로토콜을 포함한 네트워크의 기본 작업과 특정 디바이스 간에 발생하는 정기적인 파일 전송을 학습합니다.
학습 모드를 사용하여 네트워크의 경고에 대한 초기 심사를 수행하고 권한이 있는 예상 작업으로 표시하려는 경고를 학습합니다. 학습된 트래픽은 다음에 동일한 트래픽이 검색될 때 새 경고를 생성하지 않습니다.
자세한 내용은 OT 경고의 학습된 기준 만들기를 참조하세요.
다음 단계
문제 수정 작업과 플레이북 통합을 이해하고 계획하는 데 도움이 되는 경고 형식과 메시지를 검토합니다. 자세한 내용은 OT 모니터링 경고 유형 및 설명을 참조하세요.