엔터프라이즈 SOC의 OT 위협 모니터링

많은 중요 비즈니스용 산업이 OT 시스템을 디지털 IT 인프라로 전환함에 따라 SOC(보안 운영 센터) 팀과 CISO(최고 정보 보안 책임자)가 OT 네트워크의 위협에 대한 책임이 점점 커지고 있습니다.

SOC 팀은 새로운 책임과 함께 다음과 같은 새로운 과제에 대처합니다.

  • OT 경고, 산업 장비, 프로토콜 및 네트워크 동작과 관련하여 현재 SOC 팀 내의 OT 전문 지식 및 지식 부족. 이로 인해 OT 인시던트와 해당 비즈니스 영향에 대한 이해가 모호해지거나 최소화될 수 있습니다.

  • OT와 SOC 조직 간의 단일 또는 비효율적인 커뮤니케이션 및 프로세스.

  • OT 네트워크에 대한 가시성 부족 또는 자동화된 보안 수정과 같은 제한된 기술 및 도구. OT 네트워크의 데이터 원본 간에 정보를 평가하고 연결해야 하며 기존 SOC 솔루션과의 통합은 비용이 많이 들 수 있습니다.

그러나 OT 원격 분석, 컨텍스트 및 기존 SOC 도구 및 워크플로와의 통합이 없으면 OT 보안 및 운영 위협이 잘못 처리되거나 눈에 띄지 않을 수 있습니다.

Defender for IoT 및 Microsoft Sentinel 통합

Microsoft Sentinel은 SOAR(보안 정보 이벤트 관리) 보안 오케스트레이션 자동화 응답(SOAR)을 위한 확장 가능한 클라우드 서비스입니다. SOC 팀은 Iot용 Microsoft Defender 및 Microsoft Sentinel 간의 통합을 사용하여 네트워크 간에 데이터를 수집하고, 위협을 감지 및 조사하고, 인시던트에 대응할 수 있습니다.

Microsoft Sentinel에서 Defender for IoT 데이터 커넥터 및 솔루션은 SOC 팀에 기본 제공 보안 콘텐츠를 제공하여 OT 보안 경고를 보고, 분석하고, 대응하고, 광범위한 조직 위협 콘텐츠에서 생성된 인시던트를 이해할 수 있도록 지원합니다.

Defender for IoT 데이터 커넥터만 설치하여 OT 네트워크 경고를 Microsoft Sentinel로 스트리밍합니다. 그런 다음 IoT용 Microsoft Defender 솔루션에 IoT/OT 관련 분석 규칙, 통합 문서 및 SOAR 플레이북의 추가 값과 ICS용 MITRE ATT CK에 대한 인시던트& 매핑도 설치합니다.

통합 검색 및 응답

다음 표는 Defender for IoT 측의 OT 팀과 Microsoft Sentinel 측의 SOC 팀이 전체 공격 타임라인에서 위협을 빠르게 감지하고 대응할 수 있는 방법을 보여줍니다.

Microsoft Sentinel 단계 Defender for IoT
OT 알림 트리거됨 Defender for IoT의 섹션 52 보안 연구 그룹에서 제공하는 신뢰도 높은 OT 알림은 Defender for IoT에 수집된 데이터를 기반으로 트리거됩니다.
분석 규칙은 관련 사용 사례에 대해서만 자동으로 인시던트를 열어 OT 경고 피로를 방지합니다. OT 인시던트 생성됨
SOC 팀은 사이트, 라인, 손상된 자산 및 OT 소유자에 대한 데이터를 포함하여 비즈니스 영향을 매핑합니다. OT 인시던트 비즈니스 영향 매핑
SOC 팀은 네트워크 연결 및 이벤트, 통합 문서, OT 디바이스 항목 페이지를 사용하여 인시던트를 활성으로 이동하고 조사를 시작합니다. OT 인시던트 조사 경고는 활성으로 이동되고 OT 팀이 PCAP 데이터, 세부 보고서 및 기타 디바이스 세부 정보를 사용하여 조사합니다.
SOC 팀은 OT 플레이북 및 Notebook으로 응답합니다. OT 인시던트 대응 OT 팀은 필요에 따라 경보를 억제하거나 다음 번에 학습합니다.
위협이 완화된 후 SOC 팀이 인시던트를 종료합니다. OT 인시던트 종료 위협이 완화된 후 OT 팀은 경고를 종료합니다.

Defender for IoT용 Sentinel 인시던트 Microsoft

Defender for IoT 데이터 커넥터를 구성하고 Sentinel을 Microsoft IoT/OT 경고 데이터 스트리밍을 수행한 후 다음 방법 중 하나를 사용하여 해당 경고를 기반으로 인시던트를 만듭니다.

메서드 Description
기본 데이터 커넥터 규칙 사용 기본값인 데이터 커넥터와 함께 제공되는 IOT 분석 규칙에 대해 Microsoft Defender 생성된 모든 경고를 기반으로 인시던트 만들기를 사용합니다. 이 규칙은 Defender for IoT에서 스트리밍되는 각 경고에 대해 Microsoft Sentinel에 별도의 인시던트를 만듭니다.
기본 솔루션 규칙 사용 Microsoft Defender for IoT 솔루션과 함께 제공되는 기본 제공 분석 규칙의 일부 또는 전부를 사용하도록 설정합니다.

이러한 분석 규칙은 특정 상황에서만 인시던트 생성을 통해 경고 피로를 줄이는 데 도움이 됩니다. 예를 들어 과도한 로그인 시도에 대한 인시던트 만들기를 선택할 수 있지만 네트워크에서 검색된 여러 검사에 대해 선택할 수 있습니다.
사용자 지정 규칙 만들기 사용자 지정 분석 규칙을 만들어 특정 요구 사항에 따라 인시던트만 만듭니다. 기본 제공 분석 규칙을 시작점으로 사용하거나 처음부터 규칙을 만들 수 있습니다.

동일한 경고 ID에 대해 중복 인시던트가 발생하지 않도록 다음 필터를 추가합니다. | where TimeGenerated <= ProcessingEndTime + 60m

경고를 만들도록 선택한 방법에 관계없이 각 Defender for IoT 경고 ID에 대해 하나의 인시던트만 만들어야 합니다.

Defender for IoT용 Sentinel 통합 문서 Microsoft

Defender for IoT 데이터를 시각화하고 모니터링하려면 Microsoft Sentinel 작업 영역에 배포된 통합 문서를 IoT용 Microsoft Defender 솔루션의 일부로 사용합니다.

Defender for IoT 통합 문서는 열린 인시던트, 경고 알림 및 OT 자산에 대한 활동을 기반으로 OT 엔터티에 대한 단계별 조사를 제공합니다. 또한 ICS용 MITRE ATT&CK® 프레임워크 전반에 걸쳐 헌팅 환경을 제공하며 분석가, 보안 엔지니어 및 MSSP가 OT 보안 태세에 대한 상황적 인식을 얻을 수 있도록 설계되었습니다.

통합 문서는 유형, 심각도, OT 디바이스 유형 또는 공급업체별 경고 또는 시간에 따른 경고를 표시할 수 있습니다. 통합 문서는 또한 ICS 전술에 대한 MITRE ATT&CK에 매핑한 결과와 횟수 및 기간별 전술 분포도 표시합니다. 예를 들면 다음과 같습니다.

MITRE ATT&CK 그래프 이미지

Defender for IoT용 SOAR 플레이북

플레이북은 Microsoft Sentinel에서 루틴으로 실행할 수 있는 자동화된 수정 작업 컬렉션입니다. 플레이북을 사용하여 위협 대응을 자동화하고 오케스트레이션할 수 있습니다. 각각 분석 규칙 또는 자동화 규칙에 따라 트리거되는 경우 특정 경고나 인시던트에 대응하여 플레이북을 자동으로 실행되도록 설정하거나 수동으로 실행할 수 있습니다.

예를 들어, SOAR 플레이북을 사용하여 다음을 수행합니다.

  • 새 엔지니어링 워크스테이션과 같은 새 자산이 검색되면 ServiceNow에서 자산 티켓을 엽니다. 이 경고는 악의적 사용자가 PLC를 다시 프로그래밍하는 데 사용할 수 있는 권한 없는 디바이스일 수 있습니다.

  • 계획되지 않은 PLC 다시 프로그래밍과 같은 의심스러운 활동이 탐지되면 관련자에게 메일을 보냅니다. 관련 프로덕션 라인을 담당하는 제어 엔지니어와 같은 OT 담당자에게 메일을 보낼 수 있습니다.

Defender for IoT 이벤트, 경고 및 인시던트 비교

이 섹션에서는 Microsoft Sentinel의 Defender for IoT 이벤트, 경고 및 인시던트 간의 차이점을 명확히 설명합니다. 나열된 쿼리를 사용하여 OT 네트워크에 대한 현재 이벤트, 경고 및 인시던트의 전체 목록을 볼 수 있습니다.

일반적으로 경고보다 Microsoft Sentinel에서 IoT용 Defender 이벤트가 더 많이 표시되고 인시던트보다 IoT용 Defender 경고가많이 표시됩니다.

  • 이벤트: Defender for IoT에서 Microsoft Sentinel로 스트리밍되는 각 경고 로그는 이벤트입니다. 경고 로그에 Defender for IoT의 새 경고 또는 업데이트된 경고가 반영되면 SecurityAlert 테이블에 새 레코드가 추가됩니다.

    Microsoft Sentinel에서 모든 Defender for IoT 이벤트를 보려면 SecurityAlert 테이블에서 다음 쿼리를 실행합니다.

    SecurityAlert
    | where ProviderName == 'IoTSecurity' or ProviderName == 'CustomAlertRule'
    Instead
    
  • 경고: Microsoft Sentinel은 현재 분석 규칙 및 SecurityAlert 테이블에 나열된 경고 로그에 따라 경고를 만듭니다. Defender for IoT에 대한 활성 분석 규칙이 없는 경우 Microsoft Sentinel은 각 경고 로그를 이벤트로 간주합니다.

    Microsoft Sentinel에서 경고를 보려면 SecurityAlert 테이블에서 다음 쿼리를 실행합니다.

    SecurityAlert
    | where ProviderName == 'ASI Scheduled Alerts' or ProviderName == 'CustomAlertRule'
    
  • 인시던트. Microsoft Sentinel은 분석 규칙에 따라 인시던트 생성 동일한 인시던트에 여러 경고가 그룹화되어 있거나 특정 경고 유형에 대한 인시던트가 생성 되지 않도록 구성된 분석 규칙이 있을 수 있습니다.

    Microsoft Sentinel에서 인시던트 보기를 하려면 다음 쿼리를 실행합니다.

    SecurityIncident
    

다음 단계

자세한 내용은 다음을 참조하세요.