조직용 IoT용 Microsoft Defender의 새로운 보관 기능
참고 항목
Azure Defender for IoT의 이름이 Microsoft Defender for IoT로 변경되었습니다.
이 문서는 9개월 전에 조직용 Microsoft Defender for IoT용으로 릴리스된 기능 및 향상된 기능을 보관하는 역할을 합니다.
최신 업데이트는 IoT용 Microsoft Defender의 새로운 기능을 참조하세요.
아래 나열된 주목할만한 기능은 미리 보기 상태입니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 기타 법률 용어가 포함되어 있습니다.
2021년 12월
센서 소프트웨어 버전: 10.5.4
Microsoft Sentinel(미리 보기)과의 향상된 통합
새로운 IoT용 Defender 솔루션을 사용한 IoT OT 위협 모니터링이 제공되며 Microsoft Sentinel과 IoT용 Microsoft Defender 통합을 위한 향상된 기능을 제공합니다. IoT용 Defender를 사용한 IoT OT 위협 모니터링 솔루션은 IoT용 Defender 데이터용으로 특별히 구성된 분석 규칙, 통합 문서 및 플레이북을 포함하는 번들 콘텐츠 집합입니다. 이 솔루션은 현재 운영 네트워크(OT/ICS)만 지원합니다.
Microsoft Sentinel과 통합하는 방법에 대한 자세한 내용은 자습서: Defender for Iot 및 Sentinel 통합을 참조하세요.
Apache Log4j 취약성
IoT용 Microsoft Defender 버전 10.5.4는 Apache Log4j 취약성을 완화합니다. 자세한 내용은 보안 공지 업데이트를 참조하세요.
경고
IoT용 Microsoft Defender 버전 10.5.4는 중요한 경고 개선 사항을 제공합니다.
- 특정 사소한 이벤트 또는 에지 케이스에 대한 경고는 이제 사용하지 않도록 설정됩니다.
- 특정 시나리오의 경우 유사한 경고가 단일 경고 메시지로 최소화됩니다.
이러한 변경으로 경고 볼륨이 줄어들고 보안 및 운영 이벤트를 보다 효율적으로 대상 지정하고 분석할 수 있습니다.
자세한 내용은 OT 모니터링 경고 유형 및 설명을 참조하세요.
경고가 영구적으로 사용하지 않도록 설정됨
아래 나열된 경고는 버전 10.5.4에서 영구적으로 사용하지 않도록 설정됩니다. 경고와 관련된 트래픽에 대한 검색 및 모니터링은 계속 지원됩니다.
정책 엔진 경고
- RPC 프로시저 호출
- 권한 없는 HTTP 서버
- MAC 주소를 비정상적으로 사용
기본적으로 사용하지 않도록 설정된 경고
아래 나열된 경고는 버전 10.5.4에서 기본적으로 사용하지 않도록 설정되어 있습니다. 필요한 경우 센서 콘솔의 지원 페이지에서 경고를 다시 사용하도록 설정할 수 있습니다.
변칙 엔진 경고
- HTTP 헤더의 비정상적인 매개 변수 수
- 비정상적인 HTTP 헤더 길이
- 잘못된 HTTP 헤더 콘텐츠
운영 엔진 경고
- HTTP 클라이언트 오류
- RPC 작업 실패
정책 엔진 경고
이러한 경고를 사용하지 않도록 설정하면 관련 트래픽 모니터링도 사용하지 않도록 설정됩니다. 특히 이 트래픽은 데이터 마이닝 보고서에 보고되지 않습니다.
- 불법 HTTP 통신 경고 및 HTTP 연결 데이터 마이닝 트래픽
- 무단 HTTP 사용자 에이전트 경고 및 HTTP 사용자 에이전트 데이터 마이닝 트래픽
- 승인되지 않은 HTTP SOAP 작업 및 HTTP SOAP 작업 데이터 마이닝 트래픽
업데이트된 경고 기능
무단 데이터베이스 작업 경고 이전에는 이 경고가 DDL 및 DML 경고와 데이터 마이닝 보고에 대해 다루었습니다. 이제,
- DDL 트래픽: 경고 및 모니터링이 지원됩니다.
- DML 트래픽: 모니터링이 지원됩니다. 경고는 지원되지 않습니다.
새 자산 검색 경고 이 경고는 IT 서브넷에서 검색된 새 디바이스에 대해 사용하지 않도록 설정됩니다. 새 자산 검색 경고는 OT 서브넷에서 검색된 새 디바이스에 대해 계속 트리거됩니다. OT 서브넷은 자동으로 검색되며 필요한 경우 사용자가 업데이트할 수 있습니다.
최소화된 경고
특정 시나리오에 대한 경고 트리거가 최소화되어 경고 볼륨을 줄이고 경고 조사를 간소화할 수 있습니다. 이러한 시나리오에서 디바이스가 대상에 대해 반복적인 작업을 수행하면 경고가 한 번 트리거됩니다. 이전에는 동일한 작업이 수행될 때마다 새 경고가 트리거되었습니다.
이 새로운 기능은 다음 경고에서 사용할 수 있습니다.
- 원본 디바이스의 작업을 기반으로 하는 포트 검사 검색 경고(Anomaly 엔진에 의해 생성됨)
- 원본 디바이스의 작업을 기반으로 하는 맬웨어 경고. (맬웨어 엔진에 의해 생성됨).
- 대상 디바이스의 작업(Malware 엔진에서 생성)을 기반으로 한 서비스 거부 공격 의심 경고
2021년 11월
센서 소프트웨어 버전: 10.5.3
다음 기능 개선 사항은 Microsoft Defender for IoT 버전 10.5.3에서 사용할 수 있습니다.
온-프레미스 관리 콘솔에는 ServiceNow 통합을 지원하는 새로운 API가 있습니다. 자세한 내용은 온-프레미스 관리 콘솔에 대한 통합 API 참조(퍼블릭 미리 보기)를 참조하세요.
여러 OT 및 ICS 프로토콜 분석기의 네트워크 트래픽 분석이 향상되었습니다.
자동 유지 관리의 일환으로 90일 이상 지난 보관된 경고는 이제 자동으로 삭제됩니다.
고객 피드백을 기반으로 한 경고 메타데이터 내보내기가 많이 향상되었습니다.
2021년 10월
센서 소프트웨어 버전: 10.5.2
다음 기능 개선 사항은 Microsoft Defender for IoT 버전 10.5.2에서 사용할 수 있습니다.
PLC 운영 모드 검색(공개 미리 보기)
이제 사용자는 PLC 운영 모드 상태, 변경 내용 및 위험을 볼 수 있습니다. PLC 운영 모드는 물리적 키 스위치가 PLC에 있는 경우 PLC 논리 실행 상태와 물리적 키 상태로 구성됩니다.
이 새로운 기능은 보안되지 않은 PLC를 검색하여 보안을 강화하고, 그 결과 PLC 프로그램 다운로드와 같은 악의적인 공격을 방지할 수 있습니다. 2017년 석유화학 공장에 대한 Triton 공격은 이러한 위험의 영향을 보여 줍니다. 또한 이 정보는 운영 엔지니어에게 엔터프라이즈 PLC의 운영 모드에 대한 중요한 가시성을 제공합니다.
비보안 모드란?
키 상태가 프로그램으로 검색되거나 실행 상태가 원격 또는 프로그램으로 검색되면 PLC는 Defender for IoT에서 비보안으로 정의됩니다.
가시성 및 위험 평가
디바이스 인벤토리를 사용하여 조직 PLC의 PLC 상태 및 상황별 디바이스 정보를 볼 수 있습니다. 디바이스 인벤토리 설정 대화 상자를 사용하여 이 열을 인벤토리에 추가할 수 있습니다.
디바이스 속성 화면의 특성 섹션에서 PLC 보안 상태 및 PLC별 마지막 변경 정보를 확인합니다. 키 상태가 프로그램으로 검색되거나 실행 상태가 원격 또는 프로그램으로 검색되면 PLC는 Defender for IoT에서 비보안으로 정의됩니다. 디바이스 속성 PLC 보안 옵션이 false로 표시됩니다.
PLC 운영 모드 정보가 포함된 데이터 마이닝을 만들어 모든 네트워크 PLC 실행 및 키 상태를 봅니다.
위험 평가 보고서를 사용하여 비보안 모드의 네트워크 PLC 수와 안전하지 않은 PLC 위험을 완화하는 데 사용할 수 있는 추가 정보를 검토합니다.
PCAP API
새 PCAP API를 사용하면 사용자가 센서 자체에 직접 액세스하거나 액세스하지 않고 온-프레미스 관리 콘솔을 통해 센서에서 PCAP 파일을 검색할 수 있습니다.
온-프레미스 관리 콘솔 감사
이제 온-프레미스 관리 콘솔에 대한 감사 로그를 내보내 변경 내용과 변경한 사용자를 쉽게 조사할 수 있습니다.
Webhook 확장
Webhook 확장은 추가 데이터를 엔드포인트에 보내는 데 사용할 수 있습니다. 확장 기능은 Webhook 경고의 모든 정보를 포함하고 다음 정보를 보고서에 추가합니다.
- sensorID
- sensorName
- zoneID
- zoneName
- siteID
- siteName
- sourceDeviceAddress
- destinationDeviceAddress
- remediationSteps
- handled
- additionalInformation
인증서 암호에 대한 유니코드 지원
이제 센서 인증서 암호로 작업할 때 유니코드 문자가 지원됩니다. 자세한 내용은 CA 서명 인증서 준비를 참조하세요.
2021년 4월
자동 위협 인텔리전스 업데이트 사용(공개 미리 보기)
이제 IoT용 Microsoft Defender에서 새로운 위협 인텔리전스 패키지를 출시했으므로 클라우드 연결 센서에 자동으로 밀어넣을 수 있습니다. 위협 인텔리전스 패키지를 다운로드한 다음, 센서에 업로드하는 것도 가능합니다.
자동 업데이트를 사용하면 운영 작업을 줄이고 보안을 강화하는 데 도움이 됩니다. 자동 위협 인텔리전스 업데이트 토글을 켜고 Defender for IoT 포털에 클라우드 연결 센서를 온보딩하여 자동 업데이트를 사용하도록 설정하세요.
위협 인텔리전스 데이터를 업데이트할 때 좀 더 보수적인 접근법을 사용하려면 필요하다고 생각될 때만 IoT용 Microsoft Defender 포털에서 클라우드 연결 센서로 패키지를 수동으로 밀어넣으면 됩니다. 그러면 패키지를 다운로드한 후 센서에 업로드할 필요 없이 패키지 설치 시기를 제어할 수 있습니다. Defender for IoT 사이트 및 센서 페이지에서 센서에 수동으로 업데이트를 밀어넣습니다.
또한 위협 인텔리전스 패키지에 대한 다음 정보를 검토할 수 있습니다.
- 설치된 패키지 버전
- 위협 인텔리전트 업데이트 모드
- 위협 인텔리전스 업데이트 상태
클라우드 연결 센서 정보 보기(공개 미리 보기)
사이트 및 센서 페이지에서 클라우드 연결 센서에 대한 중요한 작업 정보를 확인합니다.
- 설치된 센서 버전
- 클라우드에 대한 센서 연결 상태
- 센서가 클라우드에 연결한 것으로 감지된 마지막 시간
알림 API 향상 기능
알림 API를 사용하는 사용자를 위한 새 필드가 제공됩니다.
온-프레미스 관리 콘솔
- 원본 및 대상 주소
- 수정 단계
- 사용자가 정의한 센서 이름
- 센서와 연결된 영역의 이름
- 센서와 연결된 사이트의 이름
센서
- 원본 및 대상 주소
- 수정 단계
새 필드를 사용할 때는 API 버전 2가 필요합니다.
GA(일반 공급)로 제공되는 기능
이전에 공개 미리 보기로 제공되었으며 현재는 GA(일반 공급)로 제공되는 기능은 다음과 같습니다.
- 센서 - 향상된 사용자 지정 경고 규칙
- 온-프레미스 관리 콘솔 - 경고 내보내기
- 온-프레미스 관리 콘솔에 두 번째 네트워크 인터페이스 추가
- 디바이스 빌더 - 새 마이크로 에이전트
2021년 3월
센서 - 향상된 사용자 지정 경고 규칙(공개 미리 보기)
사용자 지정 경고 규칙은 이제 네트워크 활동이 검색된 일, 일 그룹 및 기간을 기준으로 만들 수 있습니다. 경고 이벤트가 발생하는 시간에 따라 경고 심각도가 파생되는 경우 등에는 일 및 시간 규칙 조건을 사용하는 것이 유용합니다. 예를 들어 주말 또는 저녁에 네트워크 활동이 검색되면 심각도가 높은 경고를 트리거하는 사용자 지정 규칙을 만듭니다.
이 기능은 버전 10.2 릴리스의 센서에서 사용할 수 있습니다.
온-프레미스 관리 콘솔 - 경고 내보내기(공개 미리 보기)
경고 정보는 이제 온-프레미스 관리 콘솔에서 .csv 파일로 내보낼 수 있습니다. 검색된 모든 경고의 정보를 내보내거나 필터링된 보기를 기반으로 하여 정보를 내보낼 수 있습니다.
이 기능은 버전 10.2 릴리스의 온-프레미스 관리 콘솔에서 사용할 수 있습니다.
온-프레미스 관리 콘솔에 두 번째 네트워크 인터페이스 추가(공개 미리 보기)
이제 두 번째 네트워크 인터페이스를 온-프레미스 관리 콘솔에 추가하여 배포의 보안을 향상시킬 수 있습니다. 이 기능을 사용하면 온-프레미스 관리에서 센서를 하나의 보안 네트워크에 연결하고, 사용자가 별도의 두 번째 네트워크 인터페이스를 통해 온-프레미스 관리 콘솔에 액세스할 수 있습니다.
이 기능은 버전 10.2 릴리스의 온-프레미스 관리 콘솔에서 사용할 수 있습니다.
2021년 1월
보안
이 릴리스에서는 인증서 및 암호 복구 기능이 향상되었습니다.
인증서
이 버전에서 수행할 수 있는 작업은 다음과 같습니다.
- TLS/SSL 인증서를 센서 및 온-프레미스 관리 콘솔에 직접 업로드합니다.
- 온-프레미스 관리 콘솔과 연결된 센서 간, 그리고 관리 콘솔과 고가용성 관리 콘솔 간에 유효성 검사를 수행합니다. 유효성 검사는 만료 날짜, 루트 CA 신뢰성 및 인증서 해지 목록을 기반으로 합니다. 유효성 검사가 실패하면 세션이 계속되지 않습니다.
업그레이드의 경우
- 업그레이드하는 동안 TLS/SSL 인증서 또는 유효성 검사 기능이 변경되지 않습니다.
- 센서 및 온-프레미스 관리 콘솔을 업데이트한 후 관리자는 TLS/SSL 인증서를 교체하거나 시스템 설정, TLS/SSL 인증서 창에서 TLS/SSL 인증서 유효성 검사를 활성화할 수 있습니다.
새로 설치하는 경우
- 처음 로그인하는 동안 사용자는 TLS/SSL 인증서(권장) 또는 로컬에서 생성된 자체 서명된 인증서(권장하지 않음)를 사용해야 합니다.
- 새로 설치하는 경우 인증서 유효성 검사는 기본적으로 설정됩니다.
암호 복구
센서 및 온-프레미스 관리 콘솔 관리자는 이제 IoT용 Microsoft Defender 포털에서 암호를 복구할 수 있습니다. 이전에는 지원 팀이 개입하여 암호를 복구해야 했습니다.
온보딩
온-프레미스 관리 콘솔 - 커밋된 디바이스
온-프레미스 관리 콘솔에 처음 로그인한 후에는 이제 사용자가 활성화 파일을 업로드해야 합니다. 이 파일에는 조직 네트워크에서 모니터링하는 디바이스의 집계 수가 포함되어 있습니다. 이 숫자를 커밋된 디바이스 수라고 합니다. 커밋된 디바이스는 활성화 파일이 생성되는 IoT용 Microsoft Defender 포털에서 온보딩 프로세스 중에 정의됩니다. 활성화 파일을 업로드하려면 처음 사용자와 업그레이드하는 사용자가 필요합니다. 초기 활성화 후 네트워크에서 검색된 디바이스 수가 커밋된 디바이스 수를 초과할 수 있습니다. 예를 들어 더 많은 센서를 관리 콘솔에 연결하는 경우 이 이벤트가 발생할 수 있습니다. 검색된 디바이스 수와 커밋된 디바이스 수가 일치하지 않으면 관리 콘솔에 경고가 표시됩니다. 이 이벤트가 발생하면 새 활성화 파일을 업로드해야 합니다.
가격 책정 페이지 옵션
가격 책정 페이지에서 IoT용 Microsoft Defender에 대한 새 구독을 온보딩하고, 네트워크에서 커밋된 디바이스를 정의할 수 있습니다.
또한 이제 가격 책정 페이지에서 센서와 연결된 기존 구독을 관리하고, 디바이스 커밋을 업데이트할 수 있습니다.
온보딩된 센서 보기 및 관리
새 사이트 및 센서 포털 페이지에서 수행할 수 있는 작업은 다음과 같습니다.
- 센서에 대한 설명 정보를 추가합니다. 예를 들어 센서와 연결된 영역 또는 자유 텍스트 태그가 있습니다.
- 센서 정보를 보고 필터링합니다. 예를 들어 클라우드에 연결되거나 로컬로 관리되는 센서에 대한 세부 정보를 보거나 특정 영역의 센서에 대한 정보를 볼 수 있습니다.
유용성
Azure Sentinel 새 커넥터 페이지
Azure Sentinel의 IoT용 Microsoft Defender 데이터 커넥터 페이지가 다시 디자인되었습니다. 데이터 커넥터는 이제 IoT Hubs가 아닌 구독을 기반으로 하므로 고객이 Azure Sentinel에 대한 구성 연결을 더 효율적으로 관리할 수 있습니다.
Azure Portal 권한 업데이트
보안 읽기 권한자 및 보안 관리자 지원이 추가되었습니다.
기타 업데이트
액세스 그룹 - 영역 권한
온-프레미스 관리 콘솔 액세스 그룹 규칙에는 특정 영역에 대한 액세스 권한을 부여하는 옵션이 포함되지 않습니다. 사이트, 지역, 비즈니스 단위를 사용하는 규칙에 대한 정의는 변경되지 않습니다. 업그레이드 후에 특정 영역에 대한 액세스를 허용하는 규칙이 포함된 액세스 그룹에서 모든 영역을 포함하여 부모 사이트에 대한 액세스를 허용하도록 수정됩니다.
용어 변경
'자산'이라는 용어는 센서 및 온-프레미스 관리 콘솔, 보고서 및 기타 솔루션 인터페이스에서 '디바이스'로 이름이 변경되었습니다. 센서 및 온-프레미스 관리 콘솔 경고에서 이 이벤트 관리라는 용어는 수정 단계로 명명되었습니다.