OT 경고 워크플로 가속화

  • 아티클

참고 항목

언급된 기능은 미리 보기에 있습니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 기타 법률 용어가 포함되어 있습니다.

Microsoft Defender for IoT 경고는 네트워크에 로그된 이벤트에 대한 실시간 세부 정보를 통해 네트워크 보안 및 운영을 강화합니다. OT 네트워크 센서가 네트워크 트래픽에서 주의를 기울여야 하는 변경 내용 또는 의심스러운 활동을 탐지하면 OT 경고가 트리거됩니다.

이 문서에서는 팀의 OT 네트워크 경고 피로를 줄이기 위한 다음 방법을 설명합니다.

  • Azure Portal에서 제거 규칙을 만들어 센서에 의해 트리거되는 경고를 줄입니다. 에어 갭이 있는 환경에서 작업하는 경우 온-프레미스 관리 콘솔에서 경고 제외 규칙을 만들어 이를 수행합니다.

  • 팀에 대한 경고 주석을 만들어 개별 경고에 추가하고, 커뮤니케이션을 간소화하고, 경고를 기록 보관합니다.

  • 네트워크에서 특정 트래픽을 식별하는 사용자 지정 경고 규칙 만들기

필수 조건

이 페이지의 절차를 사용하기 전에 다음 필수 조건에 유의해야 합니다.

수행하는 동작 다음이 있어야 합니다.
Azure Portal에서 경고 제거 규칙 만들기 하나 이상의 클라우드 연결 OT 센서가 포함된 Defender for IoT를 구독하고 보안 관리자, 기여자 또는 소유자로 액세스할 수 있습니다.
OT 센서에 DNS 허용 목록 만들기 OT 네트워크 센서가 설치되어 있고 기본 관리자 사용자로 센서에 액세스합니다.
OT 센서에서 경고 주석 만들기 OT 네트워크 센서가 설치되어 있고 관리자 역할을 가진 모든 사용자가 센서에 액세스합니다.
OT 센서에 대한 사용자 지정 경고 규칙 만들기 OT 네트워크 센서가 설치되어 있고 관리자 역할을 가진 모든 사용자가 센서에 액세스합니다.
온-프레미스 관리 콘솔 경고 제외 규칙 만들기 온-프레미스 관리 콘솔이 설치되어 있고 관리자 역할이 있는 모든 사용자가 온-프레미스 관리 콘솔에 액세스할 수 있습니다.

자세한 내용은 다음을 참조하세요.

관련 없는 경고 표시 안 함

그렇지 않으면 경고를 트리거할 네트워크의 특정 트래픽에 대한 경고를 표시하지 않도록 OT 센서를 구성합니다. 예를 들어, 특정 센서로 모니터링되는 모든 OT 디바이스가 2일 동안 유지 관리 절차를 거치는 경우 유지 관리 기간 동안 해당 센서에서 생성된 모든 경고를 표시하지 않는 규칙을 정의할 수 있습니다.

  • 클라우드 연결 OT 센서의 경우 Azure Portal에서 경고 제거 규칙을 만들어 경고를 트리거할 네트워크의 지정된 트래픽을 무시합니다.

  • 로컬로 관리되는 센서의 경우 UI 또는 API를 사용하여 온-프레미스 관리 콘솔에서 경고 제외 규칙을 만듭니다.

Important

Azure Portal에 구성된 규칙은 온-프레미스 관리 콘솔에서 동일한 센서에 대해 구성된 모든 규칙을 재정의합니다. 현재 온-프레미스 관리 콘솔에서 경고 제외 규칙을 사용하고 있는 경우 시작하기 전에 제거 규칙으로 Azure Portal로 마이그레이션하는 것이 좋습니다.

Azure Portal에서 경고 제거 규칙 만들기(공개 미리 보기)

이 섹션에서는 Azure Portal에서 경고 제거 규칙을 만드는 방법을 설명하며 클라우드 연결 센서에만 지원됩니다.

경고 제거 규칙을 만들려면:

  1. Azure Portal의 Defender for IoT에서 경고>제거 규칙을 선택합니다.

  2. 제거 규칙(미리 보기) 페이지에서 + 만들기를 선택합니다.

  3. 제거 규칙 만들기 창의 세부 정보 탭에서 다음 세부 정보를 입력합니다.

    1. 드롭다운 목록에서 Azure 구독을 선택합니다.

    2. 규칙에 대한 의미 있는 이름과 선택적 설명을 입력합니다.

    3. 규칙이 구성된 대로 실행되기 시작하도록 하려면 사용으로 전환합니다. 나중에 규칙 사용을 시작하려면 이 옵션을 꺼진 상태로 둘 수도 있습니다.

    4. 시간 범위별 표시 안 함 영역에서 만료 날짜을 전환하여 규칙의 특정 시작 및 종료 날짜와 시간을 정의합니다. 여러 시간 범위를 추가하려면 범위 추가를 선택합니다.

    5. 적용 대상 영역에서 구독 중인 모든 센서에 규칙을 적용할지 아니면 특정 사이트나 센서에만 규칙을 적용할지 선택합니다. 사용자 지정 선택 시 적용을 선택한 경우 규칙을 실행할 사이트 및/또는 센서를 선택합니다.

      특정 사이트를 선택하면 해당 사이트와 관련된 모든 기존 센서와 향후 센서에 규칙이 적용됩니다.

    6. 다음을 선택하고 재정의 메시지를 확인합니다.

  4. 제거 규칙 만들기 창의 조건 탭에서 다음을 수행합니다.

    1. 경고 이름 드롭다운 목록에서 규칙에 대한 하나 이상의 경고를 선택합니다. 특정 규칙 이름 대신 경고 엔진의 이름을 선택하면 해당 엔진과 관련된 모든 기존 및 향후 경고에 규칙이 적용됩니다.

    2. 필요에 따라 특정 원본, 특정 대상 또는 특정 서브넷에서 들어오는 트래픽과 같은 추가 조건을 정의하여 규칙을 추가로 필터링할 수 있습니다. 서브넷을 조건으로 지정할 때 서브넷은 원본 디바이스와 대상 디바이스를 모두 참조한다는 점에 유의해야 합니다.

    3. 규칙 조건 구성을 마쳤으면 다음을 선택합니다.

  5. 제거 규칙 만들기 창의 검토 및 만들기 탭에서 만들고 있는 규칙의 세부 정보를 검토한 다음 만들기를 선택합니다.

사용자의 규칙은 제거 규칙(미리 보기) 페이지의 제거 규칙 목록에 추가됩니다. 필요에 따라 규칙을 선택하여 편집하거나 삭제할 수 있습니다.

제거 규칙을 내보내야 하는 경우 도구 모음에서 내보내기 단추를 선택합니다. 구성된 모든 규칙은 로컬에 저장할 수 있는 단일 .CSV 파일로 내보내집니다.

온-프레미스 관리 콘솔에서 제거 규칙 마이그레이션(공개 미리 보기)

현재 클라우드 연결 센서가 포함된 온-프레미스 관리 콘솔을 사용하고 있는 경우 새 제거 규칙을 만들기 전에 모든 제외 규칙을 제거 규칙으로 Azure Portal에 마이그레이션하는 것이 좋습니다. Azure Portal에 구성된 모든 제거 규칙은 온-프레미스 관리 콘솔의 동일한 센서에 대해 존재하는 경고 제외 규칙을 재정의합니다.

경고 제외 규칙을 내보내고 Azure Portal로 가져오려면:

  1. 온-프레미스 관리 콘솔에 로그인하고 경고 제외를 선택합니다.

  2. 경고 제외 페이지에서 내보내기를 선택하여 규칙을 .CSV 파일로 내보냅니다.

  3. Azure Portal의 Defender for IoT에서 경고>제거 규칙을 선택합니다.

  4. 제거 규칙(미리 보기) 페이지에서 로컬 관리자 규칙 마이그레이션을 선택한 다음 온-프레미스 관리 콘솔에서 다운로드한 .CSV 파일을 찾아서 선택합니다.

  5. 제거 규칙 마이그레이션 창에서 마이그레이션하려는 제거 규칙의 업로드된 목록을 검토한 다음 마이그레이션 승인을 선택합니다.

  6. 재정의 메시지를 확인합니다.

사용자의 규칙은 제거 규칙(미리 보기) 페이지의 제거 규칙 목록에 추가됩니다. 필요에 따라 규칙을 선택하여 편집하거나 삭제할 수 있습니다.

온-프레미스 관리 콘솔 경고 제외 규칙 만들기

로컬로 관리되는 센서에 대해서만 온-프레미스 관리 콘솔에서 경고 제외 규칙을 만드는 것이 좋습니다. 클라우드 연결 센서의 경우 Azure Portal에서 만들어진 모든 제거 규칙은 해당 센서에 대해 온-프레미스 관리 콘솔에서 만들어진 제외 규칙을 재정의합니다.

경고 제외 규칙을 만들려면 다음을 수행합니다.

  1. 온-프레미스 관리 콘솔에 로그인하고 왼쪽 메뉴에서 경고 제외를 선택합니다.

  2. 경고 제외 페이지에서 오른쪽 위에 있는 + 단추를 선택하여 새 규칙을 추가합니다.

  3. 제외 규칙 만들기 대화 상자에서 다음 세부 정보를 입력합니다.

    이름 설명
    이름 규칙의 의미 있는 이름을 입력합니다. 이름에는 따옴표(")를 사용할 수 없습니다.
    기간별 제외 규칙을 활성화할 표준 시간대 및 특정 기간을 선택한 다음 추가를 선택합니다.

    다른 표준 시간대에 대한 별도의 규칙을 만들려면 이 옵션을 사용합니다. 예를 들어 세 가지 표준 시간대에서 오전 8시와 오전 10시 사이에 제외 규칙을 적용해야 할 수 있습니다. 이 경우에는 동일한 기간 및 관련 표준 시간대를 사용하는 세 가지 별도의 제외 규칙을 만듭니다.
    디바이스 주소별 다음 값을 선택하고 입력한 다음 추가를 선택합니다.

    - 지정된 디바이스가 원본, 대상 또는 원본 및 대상 디바이스인지 여부를 선택합니다.
    - 주소가 IP 주소, MAC 주소 또는 서브넷인지 선택합니다.
    - IP 주소, MAC 주소 또는 서브넷의 값을 입력합니다.
    경고 제목별 제외 규칙에 추가할 경고를 하나 이상 선택한 다음 추가를 선택합니다. 경고 제목을 찾으려면 경고 제목 전체 또는 일부를 입력하고 드롭다운 목록에서 원하는 제목을 선택합니다.
    센서 이름별 제외 규칙에 추가할 센서를 하나 이상 선택한 다음 추가를 선택합니다. 센서 이름을 찾으려면 센서 이름의 전체 또는 일부를 입력하고 드롭다운 목록에서 원하는 이름을 선택합니다.

    Important

    경고 제외 규칙은 AND 기반이며, 이는 모든 규칙 조건이 충족될 때만 경고가 제외됨을 의미합니다. 규칙 조건이 정의되지 않은 경우 모든 옵션이 포함됩니다. 예를 들어 규칙에 센서의 이름을 포함하지 않으면 규칙이 모든 센서에 적용됩니다.

    규칙 매개 변수의 요약은 대화 상자의 맨 아래에 표시됩니다.

  4. 제외 규칙 만들기 대화 상자의 맨 아래에 표시된 규칙 요약을 확인한 다음 저장을 선택합니다.

API를 통해 경고 제외 규칙을 만들려면:

Defender for IoT API를 사용하여 외부 티켓팅 시스템이나 네트워크 유지 관리 프로세스를 관리하는 기타 시스템에서 온-프레미스 관리 콘솔 경고 제외 규칙을 만듭니다.

maintenanceWindow(경고 제외 만들기) API를 사용하여 센서, 분석 엔진, 시작 시간 및 종료 시간을 정의하여 규칙을 적용합니다. API를 통해 만든 제외 규칙은 온-프레미스 관리 콘솔 읽기 전용으로 표시됩니다.

자세한 내용은 Defender for IoT API 참조를 참조하세요.

OT 네트워크에서 인터넷 연결 허용

OT 센서에서 도메인 이름의 허용 목록을 만들어 무단 인터넷 경고 수를 줄입니다. DNS 허용 목록을 구성하면 센서는 경고를 트리거하기 전에 목록에 대해 승인되지 않은 각 인터넷 연결 시도를 확인합니다. 도메인의 FQDN이 허용 목록에 포함된 경우 센서는 경고를 트리거하지 않고 트래픽을 자동으로 허용합니다.

모든 OT 센서 사용자는 FQDN, 확인된 IP 주소 및 마지막 확인 시간을 포함하여 데이터 마이닝 보고서에서 현재 구성된 도메인 목록을 볼 수 있습니다.

DNS 허용 목록을 정의하려면 다음을 수행합니다.

  1. OT 센서에 관리자 사용자로 로그인하고 지원 페이지를 선택합니다.

  2. 검색 상자에서 DNS 를 검색한 다음 인터넷 도메인 허용 목록 설명이 있는 엔진을 찾습니다.

  3. 인터넷 도메인 허용 목록 행에 대해 편집을 선택합니다. 예시:

    센서 콘솔에서 DNS에 대한 구성을 편집하는 방법의 스크린샷.

  4. 구성 편집 창 >Fqdn 허용 목록 필드에 하나 이상의 도메인 이름을 입력합니다. 여러 도메인 이름을 쉼표로 구분합니다. 센서는 구성된 도메인에서 무단 인터넷 연결 시도에 대한 경고를 생성하지 않습니다.

  5. 제출을 클릭하여 변경 내용을 저장합니다.

데이터 마이닝 보고서에서 현재 허용 목록을 보려면 다음을 수행합니다.

사용자 지정 데이터 마이닝 보고서에서 범주를 선택할 때 DNS 범주에서 인터넷 도메인 허용 목록을 선택해야 합니다.

예시:

센서 콘솔에서 허용 목록에 대한 사용자 지정 데이터 마이닝 보고서를 생성하는 방법의 스크린샷.

생성된 데이터 마이닝 보고서에는 허용된 도메인 목록과 해당 도메인에 대해 확인되는 각 IP 주소가 표시됩니다. 이 보고서에는 해당 IP 주소가 인터넷 연결 경고를 트리거하지 않는 TTL(초)도 포함됩니다. 예시:

센서 콘솔의 허용 목록에 대한 데이터 마이닝 보고서의 스크린샷.

OT 센서에서 경고 주석 만들기

  1. OT 센서에 로그인하고 시스템 설정>네트워크 모니터링>경고 주석을 선택합니다.

  2. 경고 주석 창의 설명 필드에 새 주석을 입력하고 추가를 선택합니다. 새 주석이 필드 아래의 설명 목록에 표시됩니다.

    예시:

    OT 센서의 경고 주석 창 스크린샷.

  3. 제출을 선택하여 센서의 각 경고에서 사용 가능한 주석 목록에 주석을 추가합니다.

사용자 지정 주석은 팀 구성원이 추가할 센서의 각 경고에서 사용할 수 있습니다. 자세한 내용은 경고 주석 추가를 참조하세요.

OT 센서에 대한 사용자 지정 경고 규칙 만들기

사용자 지정 경고 규칙을 추가하여 기본 기능이 적용되지 않는 네트워크의 특정 활동에 대한 경고를 트리거합니다.

예를 들어 특정 IP 주소 및 이더넷 대상에서 메모리 레지스터에 기록된 명령을 검색하기 위해 MODBUS를 실행하는 환경에 대한 규칙을 추가할 수 있습니다.

사용자 지정 경고 규칙을 만들려면

  1. OT 센서에 로그인하고 사용자 지정 경고 규칙>+ 규칙 만들기를 선택합니다.

  2. 사용자 지정 경고 규칙 만들기 창에서 다음 필드를 정의합니다.

    이름 설명
    경고 이름 경고의 의미 있는 이름을 입력합니다.
    경고 프로토콜. 검색하려는 프로토콜을 선택합니다.
    특정한 경우에는 다음 프로토콜 중 하나를 선택합니다.

    - 데이터베이스 데이터 또는 구조 조작 이벤트의 경우 TNS 또는 TDS를 선택합니다.
    - 파일 이벤트의 경우 파일 형식에 따라 HTTP, DELTAV, SMB 또는 FTP를 선택합니다.
    - 패키지 다운로드 이벤트의 경우 HTTP를 선택합니다.
    - 열린 포트(드롭됨) 이벤트의 경우 포트 형식에 따라 TCP 또는 UDP를 선택합니다.

    S7 또는 CIP와 같은 OT 프로토콜 중 하나의 특정 변경 내용을 추적하는 규칙을 만들려면 tag 또는 sub-function과 같이 해당 프로토콜에 있는 매개 변수를 사용합니다.
    Message 경고가 트리거될 때 표시할 메시지를 정의합니다. 경고 메시지는 영숫자 문자와 검색된 모든 트래픽 변수를 지원합니다.

    예를 들어 검색된 원본 및 대상 주소를 포함할 수 있습니다. 경고 메시지에 변수를 추가하려면 중괄호({})를 사용합니다.
    방향 트래픽을 검색할 원본 및/또는 대상 IP 주소를 입력합니다.
    조건 경고를 트리거하기 위해 충족해야 하는 하나 이상의 조건을 정의합니다.

    - + 기호를 선택하여 AND 연산자를 사용하는 여러 조건으로 조건 집합을 만듭니다. 경고 프로토콜 값을 선택한 후에만 + 기호를 사용할 수 있습니다.
    MAC 주소 또는 IP 주소를 변수로 선택하는 경우 값을 점으로 구분된 10진수 주소에서 10진수 형식으로 변환해야 합니다.

    사용자 지정 경고 규칙을 만들려면 조건을 하나 이상 추가해야 합니다.
    감지됨 검색하려는 트래픽의 날짜 및/또는 시간 범위를 정의합니다. 유지 관리 시간에 맞게 일 및 시간 범위를 사용자 지정하거나 작업 시간을 설정합니다.
    작업 경고가 트리거될 때 IoT용 Microsoft Defender가 자동으로 수행할 작업을 정의합니다.
    Defender for IoT가 지정된 심각도를 사용하여 경고 또는 이벤트를 만들게 합니다.
    PCAP 포함됨 이벤트를 만들기 위해 선택한 경우 필요에 따라 PCAP 포함됨 옵션을 선택 취소합니다. 경고를 만들기 위해 선택한 경우 PCAP는 항상 포함되며 제거할 수 없습니다.

    예시:

    사용자 지정 경고 규칙을 만들기 위한 사용자 지정 경고 규칙 만들기 창의 스크린샷.

  3. 완료되면 저장을 선택하여 규칙을 저장합니다.

사용자 지정 경고 규칙 편집

사용자 지정 경고 규칙을 편집하려면 규칙을 선택한 다음 옵션(...) 메뉴 >편집을 선택합니다. 필요에 따라 경고 규칙을 수정하고 변경 내용을 저장합니다.

심각도 수준 또는 프로토콜 변경과 같은 사용자 지정 경고 규칙에 대한 편집 사항은 OT 센서의 이벤트 타임라인 페이지에서 추적됩니다.

자세한 내용은 센서 작업 추적을 참조하세요.

사용자 지정 경고 규칙 사용 안 함, 사용 또는 삭제

사용자 지정 경고 규칙을 사용하지 않도록 설정하여 이를 전부 완전히 삭제하지 않고도 실행되지 않도록 할 수 있습니다.

사용자 지정 경고 규칙 페이지에서 규칙을 하나 이상 선택한 다음 도구 모음에서 필요에 따라 사용하도록 설정, 사용하지 않도록 설정 또는 삭제를 다음과 같이 선택합니다.

온-프레미스 관리 콘솔 경고 제외 규칙 만들기

경고를 트리거하는 네트워크의 특정 트래픽을 무시하도록 센서에 지시하는 경고 제외 규칙을 만듭니다.

예를 들어 특정 센서에 의해 모니터링되는 모든 디바이스에서 2일 동안 유지 관리 절차를 수행하는 경우 미리 정의된 기간 동안 이 센서가 검색한 경고를 표시하지 않도록 Defender for IoT에 지시하는 제외 규칙을 정의할 수 있습니다.

경고 제외 규칙을 만들려면 다음을 수행합니다.

  1. 온-프레미스 관리 콘솔에 로그인하고 왼쪽 메뉴에서 경고 제외를 선택합니다.

  2. 경고 제외 페이지에서 오른쪽 위에 있는 + 단추를 선택하여 새 규칙을 추가합니다.

  3. 제외 규칙 만들기 대화 상자에서 다음 세부 정보를 입력합니다.

    이름 설명
    이름 규칙의 의미 있는 이름을 입력합니다. 이름에는 따옴표(")를 사용할 수 없습니다.
    기간별 제외 규칙을 활성화할 표준 시간대 및 특정 기간을 선택한 다음 추가를 선택합니다.

    다른 표준 시간대에 대한 별도의 규칙을 만들려면 이 옵션을 사용합니다. 예를 들어 세 가지 표준 시간대에서 오전 8시와 오전 10시 사이에 제외 규칙을 적용해야 할 수 있습니다. 이 경우에는 동일한 기간 및 관련 표준 시간대를 사용하는 세 가지 별도의 제외 규칙을 만듭니다.
    디바이스 주소별 다음 값을 선택하고 입력한 다음 추가를 선택합니다.

    - 지정된 디바이스가 원본, 대상 또는 원본 및 대상 디바이스인지 여부를 선택합니다.
    - 주소가 IP 주소, MAC 주소 또는 서브넷인지 선택합니다.
    - IP 주소, MAC 주소 또는 서브넷의 값을 입력합니다.
    경고 제목별 제외 규칙에 추가할 경고를 하나 이상 선택한 다음 추가를 선택합니다. 경고 제목을 찾으려면 경고 제목 전체 또는 일부를 입력하고 드롭다운 목록에서 원하는 제목을 선택합니다.
    센서 이름별 제외 규칙에 추가할 센서를 하나 이상 선택한 다음 추가를 선택합니다. 센서 이름을 찾으려면 센서 이름의 전체 또는 일부를 입력하고 드롭다운 목록에서 원하는 이름을 선택합니다.

    Important

    경고 제외 규칙은 AND 기반이며, 이는 모든 규칙 조건이 충족될 때만 경고가 제외됨을 의미합니다. 규칙 조건이 정의되지 않은 경우 모든 옵션이 포함됩니다. 예를 들어 규칙에 센서의 이름을 포함하지 않으면 규칙이 모든 센서에 적용됩니다.

    규칙 매개 변수의 요약은 대화 상자의 맨 아래에 표시됩니다.

  4. 제외 규칙 만들기 대화 상자의 맨 아래에 표시된 규칙 요약을 확인한 다음 저장을 선택합니다.

API를 통해 경고 제외 규칙 만들기

Defender for IoT API를 사용하여 외부 티켓 시스템 또는 네트워크 유지 관리 프로세스를 관리하는 다른 시스템에서 경고 제외 규칙을 만듭니다.

maintenanceWindow(경고 제외 만들기) API를 사용하여 센서, 분석 엔진, 시작 시간 및 종료 시간을 정의하여 규칙을 적용합니다. API를 통해 만든 제외 규칙은 온-프레미스 관리 콘솔 읽기 전용으로 표시됩니다.

자세한 내용은 Defender for IoT API 참조를 참조하세요.

다음 단계

Microsoft Defender for IoT 경고