다음을 통해 공유

Microsoft Defender for IoT에서 모니터링하는 OT 트래픽 제어

  • 아티클

이 문서는 Microsoft Defender for IoT를 사용한 OT 모니터링의 배포 경로를 설명하는 일련의 문서 중 하나입니다.

미세 조정 OT 모니터링이 강조 표시된 진행률 표시줄 다이어그램.

Microsoft Defender for IoT OT 네트워크 센서는 IT 및 OT 트래픽에 대한 심층 패킷 검색을 자동으로 실행하여 디바이스 특성 및 동작과 같은 네트워크 디바이스 데이터를 확인합니다.

OT 네트워크 센서를 설치, 활성화 및 구성한 후 이 문서에 설명된 도구를 사용하여 자동으로 검색되는 트래픽을 분석하고, 필요한 경우 추가 서브넷을 추가하고, Defender for IoT 경고에 포함된 트래픽 정보를 제어합니다.

필수 조건

이 문서의 절차를 수행하기 전에 다음 사항을 먼저 수행해야 합니다.

이 단계는 배포 팀에서 수행합니다.

배포 분석

새 OT 네트워크 센서를 Microsoft Defender for IoT에 온보딩한 후 모니터링되는 트래픽을 분석하여 센서가 올바르게 배포되었는지 유효성을 검사합니다.

네트워크를 분석하려면:

  1. OT 센서에 관리 사용자로 로그인하고 시스템 설정>기본>배포를 선택합니다.

  2. 분석을 선택합니다. 분석이 시작되고 센서에서 모니터링하는 각 인터페이스에 대한 탭이 표시됩니다. 각 탭에는 표시된 인터페이스에서 검색된 서브넷이 표시됩니다. 예시:

    배포 설정 페이지의 스크린샷.

  3. 각 인터페이스 탭에는 다음 세부 정보가 표시됩니다.

    • 연결 상태, 탭 이름에 녹색 또는 빨간색 연결 아이콘으로 표시됩니다. 예를 들어 위의 이미지에서 eth1 인터페이스는 녹색으로 표시되므로 연결되어 있습니다.
    • 검색된 서브넷 및 VLAN의 총 수, 탭 맨 위에 표시됩니다.
    • 각 서브넷에서 검색된 프로토콜입니다.
    • 각 서브넷에 대해 검색된 유니캐스트 주소 수입니다.
    • 로컬 네트워크를 나타내는 각 서브넷에 대해 브로드캐스트 트래픽이 검색되는지 여부입니다.

  4. 분석이 완료되기를 기다린 다음 각 인터페이스 탭을 확인하여 인터페이스가 관련 트래픽을 모니터링하고 있는지 또는 추가 미세 조정이 필요한지 파악합니다.

배포 페이지에 표시된 트래픽이 예상과 다른 경우 네트워크에서 센서의 위치를 변경하거나 모니터링 인터페이스가 올바르게 연결되어 있는지 확인하여 배포를 미세 조정해야 할 수 있습니다. 변경을 한 후 트래픽을 다시 분석하여 개선되었는지 확인하려면 다시 분석을 선택하여 업데이트된 모니터링 상태를 확인합니다.

서브넷 목록 미세 조정

센서가 모니터링하는 트래픽을 분석하고 배포를 미세 조정한 후에 서브넷 목록을 더 세부적으로 조정해야 할 수 있습니다. 이 절차를 사용하여 서브넷이 올바르게 구성되었는지 확인합니다.

OT 센서는 초기 배포 중에 네트워크 서브넷을 자동으로 학습하지만 검색된 트래픽을 분석하고 필요에 따라 업데이트하여 맵 보기 및 디바이스 인벤토리를 최적화하는 것이 좋습니다.

또한 이 절차를 사용해 서브넷 설정을 정의하여 센서의 디바이스 맵Azure 디바이스 인벤토리에 디바이스가 표시되는 방식을 결정합니다.

  • 디바이스 맵에서 IT 디바이스는 서브넷별로 자동으로 집계되며 여기에서 각 서브넷 보기를 확장 및 축소하여 필요에 따라 드릴다운할 수 있습니다.
  • Azure 디바이스 인벤토리에서 서브넷이 구성되면 네트워크 위치(공개 미리 보기) 필터를 사용하여 서브넷 목록에 정의된 로컬 또는 라우팅된 디바이스를 봅니다. 나열된 서브넷과 연결된 모든 디바이스는 로컬로 표시되고 목록에 포함되지 않은 검색된 서브넷과 연결된 디바이스는 라우팅됨으로 표시됩니다.

OT 네트워크 센서는 네트워크의 서브넷을 자동으로 학습하지만 맵 보기 및 디바이스 인벤토리를 최적화하기 위해 학습된 설정을 확인하고 필요에 따라 업데이트하는 것이 좋습니다. 서브넷으로 나열되지 않은 모든 서브넷은 외부 네트워크로 취급됩니다.

대규모 OT 센서 설정 관리를 시작할 준비가 되면 Azure Portal에서 서브넷을 정의합니다. Azure Portal에서 설정을 적용하면 센서 콘솔의 설정은 읽기 전용입니다. 자세한 내용은 Azure Portal에서 OT 센서 설정 구성(공개 미리 보기)을 참조하세요.

검색된 서브넷을 미세 조정하려면:

  1. OT 센서에 관리 사용자로 로그인하고 시스템 설정>기본>서브넷을 선택합니다. 예시:

    OT 센서 설정의 서브넷 페이지 스크린샷.

  2. 다음 옵션을 사용하여 나열된 서브넷을 업데이트합니다.

    이름 설명
    서브넷 가져오기 서브넷 정의의 .CSV 파일을 가져옵니다. 가져온 정보로 서브넷 정보가 업데이트됩니다. 빈 필드를 가져오면 해당 필드의 데이터가 손실됩니다.
    서브넷 내보내기 현재 나열된 서브넷을 .CSV 파일로 내보냅니다.
    모두 지우기 현재 정의된 모든 서브넷을 지웁니다.
    자동 서브넷 학습 기본적으로 선택됩니다. 센서가 서브넷을 자동으로 검색하지 못하도록 하려면 이 옵션의 선택을 취소합니다.
    모든 인터넷 트래픽을 내부/비공개로 해결 모든 공용 IP 주소를 프라이빗 로컬 주소로 간주하려면 선택합니다. 선택하면 공용 IP 주소가 로컬 주소로 취급되며 무단 인터넷 작업에 대한 경고가 전송되지 않습니다.

    이 옵션은 외부 주소에 대해 수신되는 알림 및 경고를 줄입니다.
    IP 주소 서브넷의 IP 주소를 정의합니다.
    마스크 서브넷의 IP 마스크를 정의합니다.
    이름 서브넷의 네트워크 역할을 지정하는 의미 있는 이름을 입력하는 것이 좋습니다. 서브넷 이름은 최대 60자까지 가능합니다.
    분리됨 Purdue 수준에 따라 디바이스 맵을 표시할 때 이 서브넷을 별도로 표시하려면 선택합니다.
    서브넷 제거 IoT/OT 네트워크 범위와 관련이 없는 서브넷을 제거하려면 선택합니다.

    서브넷 그리드에서 ICS 서브넷으로 표시된 서브넷은 OT 네트워크로 인식됩니다. 이 옵션은 이 그리드에서 읽기 전용이지만 OT 서브넷이 제대로 인식되지 않는 경우 서브넷을 ICS 로 수동으로 정의할 수 있습니다.

  3. 완료되면 저장을 선택하여 업데이트를 저장합니다.

자동 서브넷 학습 설정이 사용하지 않도록 설정되고 IoT/OT 범위에 있는 로컬에서 모니터링되는 서브넷만 포함하도록 서브넷 목록이 편집되면 네트워크 위치로 Azure 디바이스 인벤토리를 필터링하여 로컬로 정의된 디바이스만 볼 수 있습니다. 자세한 내용은 디바이스 인벤토리 보기를 참조하세요.

서브넷을 ICS로 수동으로 정의

OT 서브넷이 센서에 의해 자동으로 ICS 서브넷으로 표시되지 않는 경우 관련 서브넷에 있는 디바이스의 디바이스 유형을 ICS 또는 IoT 디바이스 유형으로 편집합니다. 그러면 센서가 서브넷을 자동으로 ICS 서브넷으로 표시합니다.

참고 항목

ICS로 표시할 서브넷을 수동으로 변경하려면 OT 센서의 디바이스 인벤토리에서 디바이스 유형을 변경합니다. Azure Portal에서 서브넷 목록의 서브넷은 기본적으로 센서 설정에서 ICS로 표시됩니다.

서브넷을 수동으로 업데이트하도록 디바이스 유형을 변경하려면:

  1. OT 센서 콘솔에 로그인하고 디바이스 인벤토리로 이동합니다.

  2. 디바이스 인벤토리 그리드의 관련 서브넷에서 디바이스를 선택한 다음 페이지 위쪽의 도구 모음에서 편집을 선택합니다.

  3. 형식 필드에서 ICS 또는 IoT 아래에 나열된 드롭다운 목록에서 디바이스 유형을 선택합니다.

이제 서브넷이 센서에서 ICS 서브넷으로 표시됩니다.

자세한 내용은 디바이스 세부 정보 편집을 참조하세요.

포트 및 VLAN 이름 사용자 지정

다음 절차를 사용하여 OT 네트워크 센서에서 포트 및 VLAN 이름을 사용자 지정하여 Defender for IoT에 표시되는 디바이스 데이터를 보강합니다.

예를 들어, 비정상적으로 높은 작업을 보이는 예약되지 않은 포트에 이름을 할당하여 부르거나 더 빨리 식별하기 위해 VLAN 번호에 이름을 할당할 수 있습니다.

참고 항목

클라우드 연결 센서의 경우 결국 Azure Portal에서 OT 센서 설정 구성을 시작할 수 있습니다. Azure Portal에서 설정 구성을 시작하면 OT 센서의 VLAN포트 명명 창은 읽기 전용입니다. 자세한 내용은 Azure Portal에서 OT 센서 설정 구성을 참조하세요.

검색된 포트의 이름 사용자 지정

Defender for IoT는 DHCP 또는 HTTP와 같이 가장 보편적으로 예약되는 포트에 이름을 자동으로 할당합니다. 그러나 특정 포트의 이름을 사용자 지정하여 강조 표시할 수 있습니다(예: 비정상적으로 많이 검색된 작업이 있는 포트를 감시하는 경우).

포트 이름은 OT 센서의 디바이스 맵에서 디바이스 그룹을 볼 때 또는 포트 정보를 포함하는 OT 센서 보고서를 만들 때 Defender for IoT에 표시됩니다.

포트 이름을 사용자 지정하려면:

  1. 관리자 사용자로 OT 센서에 로그인합니다.

  2. 시스템 설정을 선택한 다음 네트워크 모니터링에서 포트 명명을 선택합니다.

  3. 표시되는 포트 명명 창에서 이름을 지정하려는 포트 번호, 포트의 프로토콜 및 의미 있는 이름을 입력합니다. 지원되는 프로토콜 값에는 TCP, UDP둘 다가 포함됩니다.

  4. 다른 포트를 사용자 지정하려면 + 포트 추가를 선택하고 완료되면 저장을 선택합니다.

VLAN 이름 사용자 지정

VLAN은 OT 네트워크 센서에 의해 자동으로 검색되거나 수동으로 추가됩니다. 자동으로 검색된 VLAN은 편집하거나 삭제할 수 없지만 수동으로 추가된 VLAN에는 고유한 이름이 필요합니다. VLAN 이름이 명시적으로 지정되지 않은 경우 VLAN 번호가 대신 표시됩니다.

VLAN의 지원은 802.1q(VLAN ID 4094까지)를 기준으로 합니다.

참고 항목

VLAN 이름은 OT 네트워크 센서와 온-프레미스 관리 콘솔 간에 동기화되지 않습니다. 온-프레미스 관리 콘솔에서 사용자 지정 VLAN 이름을 보려면 여기에서도 VLAN 이름을 정의합니다.

OT 네트워크 센서에서 VLAN 이름을 구성하려면 다음을 수행합니다.

  1. OT 센서에 관리자 사용자로 로그인합니다.

  2. 시스템 설정을 선택한 다음 네트워크 모니터링에서 VLAN 명명을 선택합니다.

  3. 표시되는 VLAN 명명 창에 VLAN ID와 고유한 VLAN 이름을 입력합니다. VLAN 이름은 최대 50자의 ASCII 문자를 포함할 수 있습니다.

  4. + VLAN 추가를 선택하여 다른 VLAN을 사용자 지정하고 완료되면 저장합니다.

  5. Cisco 스위치의 경우: SPAN 포트 구성에 monitor session 1 destination interface XX/XX encapsulation dot1q 명령을 추가합니다. 여기서 XX/XX는 포트의 이름과 번호입니다.

DNS 서버 정의

역방향 조회를 수행하도록 여러 DNS 서버를 구성하고 네트워크 서브넷에서 검색된 IP 주소와 연결된 호스트 이름 또는 FQDN을 확인하여 디바이스 데이터 보강을 향상시킵니다. 예를 들어 센서가 IP 주소를 발견하는 경우 여러 DNS 서버를 쿼리하여 호스트 이름을 확인할 수 있습니다. DNS 서버 주소, 서버 포트 및 서브넷 주소가 필요합니다.

DNS 서버 조회를 정의하려면:

  1. OT 센서 콘솔에서 시스템 설정>네트워크 모니터링을 선택하고 활성 검색에서 역방향 DNS 조회를 선택합니다.

  2. 역방향 조회 예약 옵션을 사용하여 스캔을 고정 간격, 시간당 또는 특정 시간으로 정의합니다.

    특정 시간별로 선택하는 경우 오후 2시 30분의 경우 14:30과 같이 24시간제를 사용합니다. 측면의 + 단추를 선택하여 조회를 실행할 특정 시간을 추가합니다.

  3. DNS 서버 추가를 선택한 후 필요에 따라 필드를 채워 다음 필드를 정의합니다.

    • DNS 서버 주소로, DNS 서버 IP 주소입니다.
    • DNS 서버 포트
    • 레이블의 수로, 표시할 도메인 레이블의 수입니다. 이 값을 얻으려면 네트워크 IP 주소를 디바이스 FQDN으로 확인합니다. 이 필드에는 최대 30자를 입력할 수 있습니다.
    • 서브넷은 DNS 서버가 쿼리할 서브넷입니다.

  4. 상단의 사용 옵션을 전환하여 예약된 대로 역방향 조회 쿼리를 시작한 다음, 저장을 선택하여 구성을 완료합니다.

자세한 내용은 역방향 DNS 조회 구성을 참조하세요.

DNS 구성 테스트

테스트 디바이스를 사용하여 정의한 역방향 DNS 조회 설정이 정상적으로 작동하는지 확인합니다.

  1. 센서 콘솔에서 시스템 설정>네트워크 모니터링을 선택하고 활성 검색에서 역방향 DNS 조회를 선택합니다.

  2. 사용 토글이 선택되어 있어야 합니다.

  3. 테스트를 선택합니다.

  4. 서버에 대한 DNS 역방향 조회 테스트 대화 상자에서 조회 주소에 주소를 입력한 다음, 테스트를 선택합니다.

DHCP 주소 범위 구성

OT 네트워크는 정적 및 동적 IP 주소로 구성될 수 있습니다.

  • 고정 주소는 히스토리언, 컨트롤러 및 스위치와 라우터 같은 네트워크 인프라 디바이스를 통해 OT 네트워크에서 볼 수 있습니다.
  • 동적 IP 할당은 일반적으로 랩톱, PC, 스마트폰 및 기타 휴대용 장비(다양한 위치에서 WiFi 또는 실제 LAN 연결 사용)가 있는 게스트 네트워크에서 구현됩니다.

동적 네트워크로 작업하는 경우 각 OT 네트워크 센서에서 DHCP 주소 범위를 정의하여 IP 주소 변경이 발생할 때 이를 처리해야 합니다. IP 주소가 DHCP 주소로 정의되면 Defender for IoT는 IP 주소 변경에 관계없이 동일한 디바이스에서 발생하는 모든 작업을 식별합니다.

DHCP 주소 범위를 정의하려면:

  1. OT 센서에 로그인하고 시스템 설정>네트워크 모니터링>DHCP 범위를 선택합니다.

  2. 다음 중 하나를 수행합니다.

    • 단일 범위를 추가하려면 + 범위 추가를 선택하고 IP 주소 범위와 범위 이름(선택 사항)을 입력합니다.
    • 여러 범위를 추가하려면 각 범위의 시작, 이름 데이터 열이 포함된 .CSV 파일을 만듭니다. 파일을 OT 센서로 가져오려면 가져오기를 선택합니다. .CSV 파일에서 가져온 범위 값은 센서에 대해 현재 구성된 모든 범위 데이터를 덮어씁니다.
    • 현재 구성된 범위를 .CSV 파일로 내보내려면 내보내기를 선택합니다.
    • 현재 구성된 모든 범위를 지우려면 모두 지우기를 선택합니다.

    범위 이름은 최대 256자까지 가능합니다.

  3. 저장을 선택하여 변경 내용을 저장합니다.

트래픽 필터 구성(고급)

경고 피로를 줄이고 우선 순위가 높은 트래픽에 대한 네트워크 모니터링에 집중하기 위해 원본에서 Defender for IoT로 스트리밍되는 트래픽을 필터링하도록 결정할 수 있습니다. 캡처 필터는 OT 센서 CLI를 통해 구성되며 하드웨어 계층에서 고대역폭 트래픽을 차단하여 어플라이언스 성능과 리소스 사용을 모두 최적화할 수 있습니다.

자세한 내용은 다음을 참조하세요.

다음 단계

« OT 센서에서 프록시 설정 구성

검색된 디바이스 인벤토리 확인 및 업데이트 »