Defender for IoT 디바이스 인벤토리

  • 아티클

Defender for IoT의 디바이스 인벤토리를 사용하면 제조업체, 유형, 일련 번호, 펌웨어 등과 같은 특정 디바이스에 대한 세부 정보를 식별할 수 있습니다. 디바이스에 대한 세부 정보를 수집하면 팀이 가장 중요한 자산을 손상할 수 있는 취약성을 사전에 조사하는 데 도움이 됩니다.

  • 모든 관리 디바이스 및 관리되지 않는 디바이스를 포함하는 최신 인벤토리를 빌드하여 모든 IoT/OT 디바이스 관리합니다.

  • 위험 기반 접근 방식으로 디바이스를 보호하여 누락된 패치, 취약성과 같은 위험을 식별하고 위험 점수 매기기 및 자동화된 위협 모델링에 따라 수정의 우선 순위를 지정합니다.

  • 관련 없는 디바이스를 삭제하고 조직 관련 정보를 추가하여 조직 기본 설정을 강조하여 인벤토리를 업데이트합니다.

예시:

Screenshot of the Defender for IoT Device inventory page in the Azure portal.

지원되는 디바이스

Defender for IoT의 디바이스 인벤토리는 다음 디바이스 클래스를 지원합니다.

장치 예를 들어...
제조업 공압 디바이스, 패키징 시스템, 산업 패키징 시스템, 산업용 로봇과 같은 산업 및 운영 디바이스
빌딩 액세스 패널, 감시 장치, HVAC 시스템, 엘리베이터, 스마트 조명 시스템
의료 혈당 측정기, 모니터
교통/유틸리티 턴스타일, 인원 수 계산기, 동작 센서, 화재 및 안전 시스템, 인터콤
에너지 및 리소스 DCS 컨트롤러, PLC, 히스토리언 디바이스, HMI
엔드포인트 디바이스 워크스테이션, 서버 또는 모바일 디바이스
엔터프라이즈 스마트 디바이스, 프린터, 통신 디바이스 또는 오디오/비디오 디바이스
소매 바코드 스캐너, 습도 센서, 펀치 클록

일시적인 디바이스 유형은 짧은 시간 동안만 검색된 디바이스를 나타냅니다. 이런 디바이스가 네트워크에 미치는 영향을 이해하려면 이런 디바이스를 신중하게 조사하는 것이 좋습니다.

분류되지 않은 디바이스는 기본 범주가 정의되지 않은 디바이스입니다.

디바이스 관리 옵션

Defender for IoT 디바이스 인벤토리는 다음 위치에서 사용할 수 있습니다.

위치 설명 추가 인벤토리 지원
Azure Portal 모든 클라우드 연결 OT 센서에서 OT 디바이스가 검색되었습니다. - Microsoft Sentinel도 사용하는 경우 Microsoft Sentinel의 인시던트는 Defender for IoT의 관련 디바이스에 연결됩니다.

- 관련 경고 및 취약성을 포함하여 모든 클라우드 연결 디바이스 인벤토리에 대한 가시성을 위해 Defender for IoT 통합 문서를 사용하세요.

- Azure 구독에 레거시 Enterprise IoT 플랜이 있는 경우 Azure Portal에는 엔드포인트용 Microsoft Defender 에이전트에서 검색한 디바이스도 포함됩니다. Enterprise IoT 센서가 있는 경우 Azure Portal에는 Enterprise IoT 센서에서 검색한 디바이스도 포함됩니다.
Microsoft Defender XDR 엔드포인트용 Microsoft Defender 에이전트에서 검색된 엔터프라이즈 IoT 디바이스 특별히 만들어진 경고, 취약성 및 권장 사항에서 Microsoft Defender XDR 간의 디바이스 상관 관계를 지정합니다.
OT 네트워크 센서 콘솔 해당 OT 센서에서 검색된 디바이스 - 네트워크 디바이스 맵에서 검색된 모든 디바이스 보기

- 이벤트 타임라인의 관련 이벤트 보기
온-프레미스 관리 콘솔 연결된 모든 OT 센서에서 검색된 디바이스 수동으로 데이터를 가져오거나 스크립트를 통해 디바이스 데이터 향상

자세한 내용은 다음을 참조하세요.

자동으로 통합된 디바이스

여러 OT 센서를 사용하여 Defender for IoT를 대규모로 배포한 경우 각 센서는 동일한 디바이스의 다양한 측면을 감지할 수 있습니다. 디바이스 인벤토리에서 중복된 디바이스를 방지하기 위해 Defender for IoT는 동일한 영역에 있는 모든 디바이스가 유사한 특성의 논리적 조합으로 동일한 디바이스라고 가정합니다. Defender for IoT는 이러한 디바이스를 자동으로 통합하고 디바이스 인벤토리에 한 번만 나열합니다.

예를 들어 동일한 영역에서 동일한 IP 및 MAC 주소가 검색된 모든 디바이스는 통합되고 디바이스 인벤토리의 단일 디바이스로 식별됩니다. 여러 센서에서 검색되는 반복 IP 주소와 별도의 디바이스가 있는 경우 이러한 각 디바이스를 개별적으로 식별해야 합니다. 이러한 경우 OT 센서를 서로 다른 영역에 온보딩하여 각 디바이스가 동일한 IP 주소를 가지고 있더라도 별도의 고유한 디바이스로 식별되도록 합니다. MAC 주소가 동일하지만 IP 주소가 다른 디바이스는 병합되지 않으며 계속해서 고유한 디바이스로 나열됩니다.

일시적인 디바이스 유형은 짧은 시간 동안만 검색된 디바이스를 나타냅니다. 이런 디바이스가 네트워크에 미치는 영향을 이해하려면 이런 디바이스를 신중하게 조사하는 것이 좋습니다.

분류되지 않은 디바이스는 기본 범주가 정의되지 않은 디바이스입니다.

Defender for IoT에서 사이트 및 영역을 정의하여 전반적인 네트워크 보안을 강화하고, 제로 트러스트 원칙을 따르고, 센서에서 감지한 데이터를 명확하게 파악합니다.

권한 없는 디바이스

Defender for IoT를 처음 사용하는 경우 센서를 배포한 직후 학습 기간 동안 감지된 모든 디바이스는 권한 있는 디바이스로 식별됩니다.

학습 기간이 끝나면 검색된 모든 새 디바이스는 권한 없는 디바이스 및 디바이스로 간주됩니다. 이러한 디바이스에서 위험 및 취약성을 신중하게 확인하는 것이 좋습니다. 예를 들어 Azure Portal에서 Authorization == **Unauthorized**에 대한 디바이스 인벤토리를 필터링합니다. 디바이스 세부 정보 페이지에서 관련 취약성, 경고 및 권장 사항을 드릴다운하고 확인합니다.

디바이스 세부 정보를 편집하거나 OT 센서 디바이스 맵에서 디바이스를 이동하는 즉시 상태가 제거됩니다. 반면, 권한 없음 레이블은 디바이스 세부 정보를 수동으로 편집하고 권한 있음으로 표시할 때까지 유지됩니다.

OT 센서에서 권한 없는 디바이스도 다음 보고서에 포함됩니다.

  • 공격 벡터 보고서: 권한 없음으로 표시된 디바이스는 네트워크에 위협이 될 수 있는 의심스러운 악성 디바이스로 공격 벡터 시뮬레이션에 포함됩니다.

  • 위험 평가 보고서: 권한 없음으로 표시된 디바이스는 네트워크에 대한 위험으로 인해 조사가 필요하므로 위험 평가 보고서에 표시됩니다.

중요한 OT 디바이스

추가 추적을 위해 OT 디바이스를 강조 표시하는 것이 중요합니다. OT 센서에서 중요한 디바이스는 다음 보고서에 포함됩니다.

  • 공격 벡터 보고서: 중요한 것으로 표시된 디바이스는 공격 벡터 시뮬레이션에 가능한 공격 대상으로 포함됩니다.

  • 위험 평가 보고서: 중요한 것으로 표시된 디바이스는 위험 평가 보고서에서 보안 점수를 계산할 때 포함됩니다.

디바이스 인벤토리 데이터 참조

다음 표에는 Azure Portal의 Defender for IoT 디바이스 인벤토리에서 사용할 수 있는 열이 나와 있습니다. 별표가 지정된 항목 (*)은 OT 센서에서도 사용할 수 있습니다.

참고 항목

아래 나열된 주목할만한 기능은 미리 보기 상태입니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 기타 법률 용어가 포함되어 있습니다.

이름 설명
Authorization * 편집 가능. 디바이스가 권한 있음으로 표시되었는지 여부를 확인합니다. 이 값은 디바이스 보안이 변경될 때 변경해야 할 수 있습니다.
비즈니스 기능 편집 가능. 디바이스의 비즈니스 기능을 설명합니다.
클래스 편집 가능. 디바이스의 클래스입니다.
기본값: IoT
데이터 원본 마이크로 에이전트, OT 센서 또는 엔드포인트용 Microsoft Defender와 같은 데이터의 원본입니다.
기본값: MicroAgent
설명 * 편집 가능. 디바이스의 설명입니다.
디바이스 ID 디바이스의 Azure 할당 ID 번호입니다.
펌웨어 모델 디바이스의 펌웨어 모델입니다.
펌웨어 공급업체 편집 가능. 디바이스의 펌웨어 공급업체입니다.
펌웨어 버전 * 편집 가능. 디바이스의 펌웨어 버전입니다.
처음 확인한 날짜 * 디바이스가 처음 확인된 날짜 및 시간입니다. MM/DD/YYYY HH:MM:SS AM/PM 형식으로 표시됩니다. OT 센서에서 검색됨으로 표시됩니다.
중요도 편집 가능. 디바이스의 중요한 수준인 Low, Medium 또는 High입니다.
IPv4 주소 디바이스의 IPv4 주소입니다.
IPv6 주소 디바이스의 IPv6 주소입니다.
마지막 활동 * 디바이스 인벤토리를 보는 위치에 따라 디바이스가 Azure 또는 OT 센서로 이벤트를 마지막으로 보낸 날짜 및 시간입니다. MM/DD/YYYY HH:MM:SS AM/PM 형식으로 표시됩니다.
위치 편집 가능. 디바이스의 물리적 위치입니다.
MAC 주소 * 디바이스의 MAC 주소입니다.
모델 * 편집 가능 디바이스의 하드웨어 모델입니다.
이름 * 필수, 편집 가능. 센서가 검색한 디바이스의 이름이거나 사용자가 입력한 디바이스 이름입니다.
네트워크 위치(공개 미리 보기) 디바이스의 네트워크 위치입니다. 구성된 서브넷에 따라 디바이스가 로컬 또는 라우팅됨으로 정의되는지 여부를 표시합니다.
OS 아키텍처 편집 가능. 디바이스의 운영 체제 아키텍처입니다.
OS 배포 편집 가능. Android, Linux 및 Haiku와 같은 디바이스의 운영 체제입니다.
OS 플랫폼 * 편집 가능. 디바이스의 운영 체제(감지된 경우)입니다. OT 센서에서 운영 체제로 표시됩니다.
OS 버전 편집 가능. Windows 10 또는 Ubuntu 20.04.1과 같은 디바이스의 운영 체제 버전입니다.
PLC 모드 * 상태(물리적/논리적) 및 실행 상태(논리)를 모두 포함하는 디바이스의 PLC 운영 모드입니다. 두 상태가 모두 같으면 하나의 상태만 표시됩니다.

- 가능한 상태는 Run, Program, Remote, Stop, Invalid, Programming Disabled입니다.

- 가능한 실행 상태는 Run, Program, Stop, Paused, Exception, Halted, Trapped, Idle 또는 Offline입니다.
프로그래밍 디바이스 * 편집 가능. 디바이스가 프로그래밍 디바이스로 정의되어 엔지니어링 스테이션과 관련된 PLC, RTU 및 컨트롤러에 대한 프로그래밍 작업을 수행하는지 여부를 정의합니다.
프로토콜 * 디바이스에서 사용하는 프로토콜입니다.
Purdue 수준 편집 가능. 디바이스가 있는 Purdue 수준입니다.
스캐너 디바이스 * 편집 가능. 디바이스가 네트워크에서 검색과 유사한 작업을 수행하는지 여부를 정의합니다.
센서 디바이스가 연결된 센서입니다.
일련 번호 * 디바이스의 일련 번호입니다.
사이트 디바이스의 사이트입니다.

모든 Enterprise IoT 센서가 Enterprise 네트워크 사이트에 자동으로 추가됩니다.
슬롯 디바이스에 있는 슬롯 수입니다.
하위 유형 편집 가능. 스피커 또는 스마트 TV와 같은 디바이스의 하위 유형입니다.
기본값:Managed Device
태그 편집 가능. 디바이스의 태그입니다.
Type * 편집 가능. 통신 또는 산업과 같은 디바이스 유형입니다.
기본값:Miscellaneous
공급업체 * MAC 주소에 정의된 디바이스 공급업체의 이름입니다.
VLAN * 디바이스의 VLAN입니다.
영역 디바이스의 영역입니다.

다음 열은 OT 센서에서만 사용할 수 있습니다.

  • 디바이스의 DHCP 주소
  • 디바이스의 FQDN 주소 및 FQDN 마지막 조회 시간
  • OT 센서의 디바이스 맵에 정의된 대로 디바이스를 포함하는 디바이스 그룹
  • 디바이스의 모듈 주소
  • 디바이스의 슬롯
  • 디바이스와 연결된 승인되지 않은 경고 경고의 수

참고 항목

추가 에이전트 유형에이전트 버전 열은 디바이스 작성기에서 사용됩니다. 자세한 내용은 디바이스 작성기를 위한 Microsoft Defender for IoT 문서를 참조하세요.

다음 단계

자세한 내용은 다음을 참조하세요.