Azure Portal에서 경고 보기 및 관리

아티클
12/04/2024

Microsoft Defender for IoT 경고는 네트워크에 로그된 이벤트에 대한 실시간 세부 정보를 통해 네트워크 보안 및 운영을 강화합니다. 이 문서에서는 OT 및 엔터프라이즈 IoT 네트워크 센서에서 생성된 경고를 포함하여 Azure Portal에서 Microsoft Defender for IoT 경고를 관리하는 방법을 설명합니다.

OT 경고는 각 OT 네트워크 센서 콘솔 또는 연결된 온-프레미스 관리 콘솔에서도 사용할 수 있습니다.
Microsoft Sentinel과 통합하여 Microsoft Sentinel에서 Defender for IoT 경고를 보고 보안 인시던트와 함께 관리합니다.
Microsoft Defender XDR에서 Enterprise IoT 보안을 설정한 경우 엔드포인트용 Microsoft Defender 감지된 Enterprise IoT 디바이스에 대한 경고는 엔드포인트용 Defender에서만 사용할 수 있습니다.

자세한 내용은 엔터프라이즈의 IoT 디바이스 보안 및 Microsoft Defender XDR의 경고 큐를 참조하세요.

필수 조건

Defender for IoT에서 경고를 받으려면 OT가 온보드되고 네트워크 데이터가 Defender for IoT로 스트리밍되어야 합니다.
Azure Portal에서 경고를 보려면 보안 읽기 권한자, 보안 관리자, 기여자 또는 소유자로 액세스할 수 있어야 합니다.
Azure Portal에서 경고를 관리하려면 보안 관리자, 기여자 또는 소유자로 액세스할 수 있어야 합니다. 경고 관리 활동에는 상태 또는 심각도 수정, 경고 학습, PCAP 데이터 액세스 또는 경고 억제 규칙 사용이 포함됩니다.

자세한 내용은 Defender for IoT에 대한 Azure 사용자 역할 및 권한을 참조하세요.

Azure Portal에서 경고 보기

Azure Portal의 Defender for IoT에서 왼쪽의 경고 페이지를 선택합니다. 기본적으로 다음 세부 정보가 그리드에 표시됩니다.

열	설명
심각도	필요에 따라 수정할 수 있는 센서가 할당한 미리 정의된 경고 심각도입니다.
이름	경고 제목입니다.
사이트	사이트 및 센서 페이지에 나열된 대로 경고를 검색한 센서와 연결된 사이트입니다.
엔진	활동을 탐지하고 경고를 트리거한 Defender for IoT 검색 엔진입니다. 참고: Micro-agent 값은 이벤트가 Defender for IoT Device Builder 플랫폼에 의해 트리거되었음을 나타냅니다.
마지막 검색	경고가 마지막으로 검색된 시간입니다. - 경고 상태가 신규이고 동일한 트래픽이 다시 표시되면 동일한 경고에 대해 마지막 검색 시간이 업데이트됩니다. - 경고 상태가 닫힘이고 트래픽이 다시 표시되면 마지막 검색 시간이 업데이트되지 않고 새 경고가 트리거됩니다. 참고: 센서 콘솔에서 경고의 마지막 검색 필드를 실시간으로 표시하는 동안 Azure Portal의 Defender for IoT는 업데이트된 시간을 표시하는 데 최대 1시간이 걸릴 수 있습니다. 센서 콘솔의 마지막 검색 시간이 Azure Portal의 마지막 검색 시간과 같지 않은 시나리오를 설명합니다.
상태	경고 상태: 신규, 활성, 닫힘 자세한 내용은 경고 상태 및 분류 옵션을 참조하세요.
원본 디바이스	IP 주소, MAC 주소 또는 경고를 트리거한 트래픽이 시작된 디바이스의 이름입니다.
전술	MITRE ATT&CK 단계입니다.

자세한 내용을 보려면 열 편집 단추를 선택합니다.

오른쪽의 열 편집 창에서 열 추가와 다음 추가 열 중 하나를 선택합니다.

열	설명
원본 디바이스 주소	원본 디바이스의 IP 주소입니다.
대상 디바이스 주소	대상 디바이스의 IP 주소입니다.
대상 디바이스	대상 IP 또는 MAC 주소 또는 대상 디바이스 이름입니다.
첫 번째 검색	네트워크에서 경고가 처음 검색된 시간입니다.
ID	센서 콘솔의 ID와 일치하는 고유한 경고 ID입니다. 참고: 동일한 경고를 검색한 센서의 경고가 다른 경고와 병합된 경우 Azure Portal은 경고를 생성한 첫 번째 센서의 경고 ID를 표시합니다.
마지막 활동	심각도 또는 상태에 대한 수동 업데이트 또는 디바이스 업데이트 또는 디바이스/경고 중복 제거에 대한 자동화된 변경 내용을 포함하여 경고가 마지막으로 변경된 시간
프로토콜	경고에 대한 네트워크 트래픽에서 검색된 프로토콜입니다.
센서	경고를 검색한 센서입니다.
영역	경고를 검색한 센서에 할당된 영역입니다.
범주	경고와 관련된 범주(예: 운영 문제, 사용자 지정 경고 또는 잘못된 명령)입니다.
Type	경고의 내부 이름입니다.

팁

예상보다 많은 경고가 표시되는 경우 합법적인 네트워크 활동에 대해 경고가 트리거되지 않도록 표시 안 함 규칙을 만들 수 있습니다. 자세한 내용은 관련 없는 경고 표시 안 함을 참조하세요.

표시된 경고 필터링

검색 상자, 시간 범위 및 필터 추가 옵션을 사용하여 특정 매개 변수로 표시되는 경고를 필터링하거나 특정 경고를 찾는 데 도움이 됩니다.

예를 들어 범주별로 경고를 필터링합니다.

표시된 경고 그룹화

오른쪽 상단의 그룹화 기준 메뉴를 사용하여 특정 매개 변수에 따라 그리드를 하위 섹션으로 축소합니다.

예를 들어, 총 경고 수가 그리드 위에 표시되는 동안 특정 심각도, 프로토콜 또는 사이트의 경고 수와 같이 경고 수 분석에 대한 보다 구체적인 정보가 필요할 수 있습니다.

지원되는 그룹화 옵션에는 엔진, 이름, 센서, 심각도 및 사이트가 있습니다.

세부 정보 보기 및 특정 경고 수정

경고 페이지의 그리드에서 경고를 선택하면 오른쪽 창에 자세한 내용이 표시됩니다. 경고 세부 정보 창에는 경고 설명, 트래픽 원본 및 대상 등이 포함됩니다.

자세히 알아보려면 전체 세부 정보 보기를 선택합니다. 예시:
경고 세부 정보 페이지에서는 경고에 대한 자세한 내용과 작업 수행 탭의 수정 단계 세트를 제공합니다. 예를 들면 다음과 같습니다.

경고 심각도 및 상태 관리

가능한 한 빨리 가장 위험한 경고의 우선 순위를 지정할 수 있도록 경고를 심사한 직후 Azure Portal의 Defender for IoT에서 경고 심각도를 업데이트하는 것이 좋습니다. 진행 상황이 기록되도록 문제 수정 단계를 수행한 후에는 경고 상태를 업데이트해야 합니다.

단일 경고 또는 선택한 경고의 심각도와 상태를 일괄적으로 업데이트할 수 있습니다.

검색된 네트워크 트래픽이 승인되었음을 Defender for IoT에 나타내도록 경고를 학습시킵니다. 다음에 동일한 트래픽이 네트워크에서 검색될 때 학습된 경고가 다시 트리거되지 않습니다. 학습은 선택된 경고에 대해서만 지원되며 학습 해제는 OT 네트워크 센서에서만 지원됩니다.

자세한 내용은 경고 상태 및 분류 옵션을 참조하세요.

단일 경고를 관리하려면:
1. Azure Portal의 Defender for IoT에서 왼쪽의 경고 페이지를 선택한 다음 그리드에서 경고를 선택합니다.
2. 오른쪽의 세부 정보 창이나 경고 세부 정보 페이지 자체에서 새 상태 및/또는 심각도를 선택합니다.
여러 경고를 일괄 관리하려면:
1. Azure Portal의 Defender for IoT에서 왼쪽의 경고 페이지를 선택한 다음 그리드에서 수정하려는 경고를 선택합니다.
2. 도구 모음에서 상태 변경 및/또는 심각도 변경 옵션을 사용하여 선택한 모든 경고의 상태 및/또는 심각도를 업데이트합니다.
하나 이상의 경고 알아보기:

Azure Portal의 Defender for IoT에서 왼쪽의 경고 페이지를 선택한 후 다음 중 하나를 수행합니다.
- 그리드에서 학습 가능한 경고를 하나 이상 선택한 다음 도구 모음에서 학습을 선택합니다.
- 학습 가능한 경고에 대한 경고 세부 정보 페이지의 작업 수행 탭에서 학습을 선택합니다.