엔터프라이즈 SOC의 OT 위협 모니터링
많은 중요 비즈니스용 산업이 OT 시스템을 디지털 IT 인프라로 전환함에 따라 SOC(보안 운영 센터) 팀과 CISO(최고 정보 보안 책임자)가 OT 네트워크의 위협에 대한 책임이 점점 커지고 있습니다.
SOC 팀은 새로운 책임과 함께 다음과 같은 새로운 과제에 대처합니다.
OT 경고, 산업 장비, 프로토콜 및 네트워크 동작과 관련하여 현재 SOC 팀 내의 OT 전문 지식 및 지식 부족. 이로 인해 OT 인시던트와 해당 비즈니스 영향에 대한 이해가 모호해지거나 최소화될 수 있습니다.
OT와 SOC 조직 간의 단일 또는 비효율적인 커뮤니케이션 및 프로세스.
OT 네트워크에 대한 표시 유형 부족 또는 자동화된 보안 문제 수정과 같은 제한된 기술 및 도구. OT 네트워크의 데이터 원본에서 정보를 평가하고 연결해야 하며 기존 SOC 솔루션과의 통합에는 비용이 많이 들 수 있습니다.
그러나 OT 데이터, 컨텍스트, 기존 SOC 도구 및 워크플로와의 통합이 없으면 OT 보안 및 운영 위협이 잘못 처리되거나 심지어 눈에 띄지 않을 수도 있습니다.
Defender for IoT 및 Microsoft Sentinel 통합
Microsoft Sentinel은 SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화된 응답)을 위한 확장성 있는 클라우드 서비스입니다. SOC 팀은 Microsoft Defender for IoT와 Microsoft Sentinel 간의 통합을 사용하여 네트워크에서 데이터를 수집하고, 위협을 검색 및 조사하고, 인시던트에 대응할 수 있습니다.
Microsoft Sentinel에서 Defender for IoT 데이터 커넥터 및 솔루션은 기본 제공 보안 콘텐츠를 SOC 팀에 제공하여 OT 보안 경고를 확인, 분석 및 대응하고 더 광범위한 조직 위협 콘텐츠에서 생성된 인시던트를 이해할 수 있도록 지원합니다.
OT 네트워크 경고를 Microsoft Sentinel로 스트리밍하려면 Defender for IoT 데이터 커넥터만 설치합니다. 그런 다음 IoT/OT 관련 분석 규칙, 통합 문서 및 SOAR 플레이북을 비롯해 MITRE ATT&CK for ICS 기술에 대한 인시던트 매핑의 가치를 높이려면 Microsoft Defender for IoT 솔루션을 설치합니다.
Defender for IoT를 Microsoft Sentinel과 통합하면 Microsoft Sentinel의 다른 파트너 통합에서 더 많은 데이터를 수집하는 데도 도움이 됩니다. 자세한 내용은 Microsoft 및 파트너 서비스와의 통합을 참조하세요.
참고 항목
Microsoft Sentinel의 일부 기능에는 요금이 부과될 수 있습니다. 자세한 내용은 비용 계획 및 Microsoft Sentinel 가격 책정 및 청구 이해를 참조하세요.
통합 검색 및 응답
다음 표는 Defender for IoT 측의 OT 팀과 Microsoft Sentinel 측의 SOC 팀이 전체 공격 타임라인에서 위협을 빠르게 감지하고 대응할 수 있는 방법을 보여줍니다.
| Microsoft Sentinel | 단계 | Defender for IoT |
|---|---|---|
| OT 알림 트리거됨 | Defender for IoT의 섹션 52 보안 연구 그룹에서 제공하는 신뢰도 높은 OT 알림은 Defender for IoT에 수집된 데이터를 기반으로 트리거됩니다. | |
| 분석 규칙은 관련 사용 사례에 대해서만 자동으로 인시던트를 열어 OT 경고 피로를 방지합니다. | OT 인시던트 생성됨 | |
| SOC 팀은 사이트, 라인, 손상된 자산 및 OT 소유자에 대한 데이터를 포함하여 비즈니스 영향을 매핑합니다. | OT 인시던트 비즈니스 영향 매핑 | |
| SOC 팀은 네트워크 연결 및 이벤트, 통합 문서, OT 디바이스 항목 페이지를 사용하여 인시던트를 활성으로 이동하고 조사를 시작합니다. | OT 인시던트 조사 | 경고는 활성으로 이동되고 OT 팀이 PCAP 데이터, 세부 보고서 및 기타 디바이스 세부 정보를 사용하여 조사합니다. |
| SOC 팀은 OT 플레이북 및 Notebook으로 응답합니다. | OT 인시던트 대응 | OT 팀은 필요에 따라 경보를 억제하거나 다음 번에 학습합니다. |
| 위협이 완화된 후 SOC 팀이 인시던트를 종료합니다. | OT 인시던트 종료 | 위협이 완화된 후 OT 팀은 경고를 종료합니다. |
경고 상태 동기화
경고 상태 변경은 Microsoft Sentinel에서 Defender for IoT로만 동기화되고 Defender for IoT에서 Microsoft Sentinel로는 동기화되지 않습니다.
Defender for IoT를 Microsoft Sentinel과 통합하는 경우 Microsoft Sentinel에서 관련 인시던트와 함께 경고 상태를 관리하는 것이 좋습니다.
Defender for IoT에 대한 Microsoft Sentinel 인시던트
Defender for IoT 데이터 커넥터를 구성하고 IoT/OT 경고 데이터를 Microsoft Sentinel로 스트리밍한 후 다음 방법 중 하나를 사용하여 해당 경고를 기반으로 인시던트를 만듭니다.
| 메서드 | 설명 |
|---|---|
| 기본 데이터 커넥터 규칙 사용 | 데이터 커넥터와 함께 제공되는 Microsoft Defender for IoT에서 만들어진 모든 경고를 기반으로 인시던트 만들기 분석 규칙 기본값을 사용합니다. 이 규칙은 Defender for IoT에서 스트리밍되는 각 경고에 대해 Microsoft Sentinel에서 별도의 인시던트를 만듭니다. |
| 기본 솔루션 규칙 사용 | Microsoft Defender for IoT 솔루션과 함께 제공되는 기본 제공 분석 규칙의 일부 또는 전체를 사용하도록 설정합니다. 이러한 분석 규칙은 특정 상황에서만 인시던트를 만들어 경고 피로도를 줄이는 데 도움이 됩니다. 예를 들어, 과도한 로그인 시도에 대한 인시던트를 만들도록 선택할 수 있지만 네트워크에서 여러 검사가 발견되었습니다. |
| 사용자 지정 규칙 만들기 | 특정 요구 사항만을 기반으로 인시던트를 만드는 사용자 지정 분석 규칙을 만듭니다. 기본 제공 분석 규칙을 시작점으로 사용하거나 처음부터 규칙을 만들 수 있습니다. 동일한 경고 ID에 대한 중복 인시던트를 방지하려면 다음 필터를 추가합니다. | where TimeGenerated <= ProcessingEndTime + 60m |
경고를 만들기 위해 선택한 방법에 관계없이 각 Defender for IoT 경고 ID에 대해 하나의 인시던트만 만들어야 합니다.
Defender for IoT용 Microsoft Sentinel 통합 문서
Defender for IoT 데이터를 시각화하고 모니터링하려면 Microsoft Defender for IoT 솔루션의 일부로 Microsoft Sentinel 작업 영역에 배포된 통합 문서를 사용합니다.
Defender for IoT 통합 문서는 미해결 인시던트, 경고 알림 및 OT 자산에 대한 작업을 기반으로 OT 엔터티에 대한 단계별 조사를 제공합니다. 또한 ICS용 MITRE ATT&CK® 프레임워크 전반에 걸쳐 헌팅 환경을 제공하며 분석가, 보안 엔지니어 및 MSSP가 OT 보안 태세에 대한 상황적 인식을 얻을 수 있도록 설계되었습니다.
통합 문서는 형식, 심각도, OT 디바이스 유형 또는 공급업체별로 경고를 표시하거나 시간 경과에 따른 경고를 표시할 수 있습니다. 통합 문서는 또한 ICS 전술에 대한 MITRE ATT&CK에 매핑한 결과와 횟수 및 기간별 전술 분포도 표시합니다. 예시:
Defender for IoT용 SOAR 플레이북
플레이북은 Microsoft Sentinel에서 루틴으로 실행할 수 있는 자동화된 수정 작업 컬렉션입니다. 플레이북을 사용하여 위협 대응을 자동화하고 오케스트레이션할 수 있습니다. 각각 분석 규칙 또는 자동화 규칙에 따라 트리거되는 경우 특정 경고나 인시던트에 대응하여 플레이북을 자동으로 실행되도록 설정하거나 수동으로 실행할 수 있습니다.
예를 들어, SOAR 플레이북을 사용하여 다음을 수행합니다.
새 엔지니어링 워크스테이션과 같은 새 자산이 검색되면 ServiceNow에서 자산 티켓을 엽니다. 이 경고는 공격자가 PLC를 다시 프로그래밍하는 데 사용할 수 있는 권한이 없는 디바이스일 수 있습니다.
계획되지 않은 PLC 다시 프로그래밍과 같은 의심스러운 활동이 탐지되면 관련자에게 메일을 보냅니다. 관련 프로덕션 라인을 담당하는 제어 엔지니어와 같은 OT 담당자에게 메일을 보낼 수 있습니다.
Defender for IoT 이벤트, 경고 및 인시던트 비교
이 섹션에서는 Microsoft Sentinel에서 Defender for IoT 이벤트, 경고 및 인시던트 간의 차이점을 설명합니다. 나열된 쿼리를 사용하여 OT 네트워크에 대한 현재 이벤트, 경고 및 인시던트의 전체 목록을 봅니다.
일반적으로 Microsoft Sentinel에는 경고보다 Defender for IoT 이벤트가 더 많이 표시되고 인시던트보다 Defender for IoT 경고가 더 많이 표시됩니다.
Microsoft Sentinel의 Defender for IoT 이벤트
Defender for IoT에서 Microsoft Sentinel로 스트리밍되는 각 경고 로그는 이벤트입니다. 경고 로그에 Defender for IoT의 새 경고 또는 업데이트된 경고가 반영되면 SecurityAlert 테이블에 새 레코드가 추가됩니다.
Microsoft Sentinel에서 모든 Defender for IoT 이벤트를 보려면 SecurityAlert 테이블에서 다음 쿼리를 실행합니다.
SecurityAlert
| where ProviderName == 'IoTSecurity' or ProviderName == 'CustomAlertRule'
Instead
Microsoft Sentinel의 Defender for IoT 경고
Microsoft Sentinel은 현재 분석 규칙과 SecurityAlert 표에 나열된 경고 로그를 기반으로 경고를 만듭니다. Defender for IoT에 대한 활성 분석 규칙이 없는 경우 Microsoft Sentinel은 각 경고 로그를 이벤트로 간주합니다.
Microsoft Sentinel에서 경고를 보려면 SecurityAlert 테이블에서 다음 쿼리를 실행합니다.
SecurityAlert
| where ProviderName == 'ASI Scheduled Alerts' or ProviderName =='CustomAlertRule'
Microsoft Defender for IoT 솔루션을 설치하고 AD4IoT-AutoAlertStatusSync 플레이북을 배포하면 경고 상태 변경이 Microsoft Sentinel에서 Defender for IoT로 동기화됩니다. 경고 상태 변경은 Defender for IoT에서 Microsoft Sentinel로 동기화되지 않습니다.
Important
Microsoft Sentinel에서 관련 인시던트와 함께 경고 상태를 관리하는 것이 좋습니다. 자세한 내용은 Microsoft Sentinel에서 인시던트 작업으로 작업을 참조하세요.
Microsoft Sentinel의 Defender for IoT 인시던트
Microsoft Sentinel은 분석 규칙에 따라 인시던트를 만듭니다. 동일한 인시던트에 여러 경고를 그룹화하거나 특정 경고 형식에 대한 인시던트를 만들지 않도록 분석 규칙을 구성할 수 있습니다.
Microsoft Sentinel에서 인시던트를 보려면 다음 쿼리를 실행합니다.
SecurityIncident
다음 단계
자세한 내용은 다음을 참조하세요.