Microsoft Defender for IoT에서 모니터링하는 OT 트래픽 제어

  • 아티클

이 문서는 Microsoft Defender for IoT를 사용하여 OT 모니터링을 위한 배포 경로를 설명하는 일련의 문서 중 하나입니다.

Diagram of a progress bar with Fine-tune OT monitoring highlighted.

Microsoft Defender for IoT OT 네트워크 센서는 IT 및 OT 트래픽에 대한 심층 패킷 검색을 자동으로 실행하여 디바이스 특성 및 동작과 같은 네트워크 디바이스 데이터를 확인합니다.

OT 네트워크 센서를 설치, 활성화 및 구성한 후 이 문서에 설명된 도구를 사용하여 자동으로 검색되는 트래픽을 분석하고, 필요한 경우 추가 서브넷을 추가하고, Defender for IoT 경고에 포함된 트래픽 정보를 제어합니다.

필수 조건

이 문서의 절차를 수행하기 전에 다음이 있어야 합니다.

이 단계는 배포 팀에서 수행합니다.

배포 분석

새 OT 네트워크 센서를 Microsoft Defender for IoT에 온보딩한 후 모니터링되는 트래픽을 분석하여 센서가 올바르게 배포되었는지 확인합니다.

네트워크를 분석하려면 다음을 수행합니다.

  1. 관리 사용자로 OT 센서에 로그인하고 시스템 설정>기본>배포를 선택합니다.

  2. 분석을 선택합니다. 분석이 시작되고 센서에서 모니터링하는 각 인터페이스에 대한 탭이 표시됩니다. 각 탭에는 표시된 인터페이스에서 검색된 서브넷이 표시됩니다. 예시:

    Screenshot of the Deployment settings page.

  3. 각 인터페이스 탭에는 다음 세부 정보가 표시됩니다.

    • 탭 이름에 녹색 또는 빨간색 연결 아이콘으로 표시되는 커넥트ion 상태. 예를 들어 위의 이미지에서 eth1 인터페이스는 녹색으로 표시되므로 연결됩니다.
    • 탭 맨 위에 표시된 검색된 서브넷 및 VLAN의 총 수입니다.
    • 각 서브넷에서 검색된 프로토콜입니다.
    • 각 서브넷에 대해 검색된 유니캐스트 주소 수입니다.
    • 로컬 네트워크를 나타내는 각 서브넷에 대해 브로드캐스트 트래픽이 검색되는지 여부입니다.

  4. 분석이 완료되기를 기다린 다음 각 인터페이스 탭을 검사 인터페이스가 관련 트래픽을 모니터링하고 있는지 또는 추가 미세 조정이 필요한지 이해합니다.

배포 페이지에 표시된 트래픽이 예상과 다른 경우 네트워크에서 센서의 위치를 변경하거나 모니터링 인터페이스가 올바르게 연결되어 있는지 확인하여 배포를 미세 조정해야 할 수 있습니다. 변경하고 트래픽을 다시 분석하여 개선되었는지 확인하려면 다시 분석을 선택하여 업데이트된 모니터링 상태를 확인합니다.

서브넷 목록 미세 조정

센서가 배포를 모니터링하고 미세 조정하는 트래픽을 분석한 후에는 서브넷 목록을 더 세부적으로 조정해야 할 수 있습니다. 이 절차를 사용하여 서브넷이 올바르게 구성되었는지 확인합니다.

OT 센서는 초기 배포 중에 네트워크 서브넷을 자동으로 학습하지만 검색된 트래픽을 분석하고 필요에 따라 업데이트하여 지도 보기 및 디바이스 인벤토리를 최적화하는 것이 좋습니다.

또한 이 절차를 사용하여 센서의 디바이스 맵Azure 디바이스 인벤토리에 디바이스가 표시되는 방식을 결정하는 서브넷 설정을 정의합니다.

  • 디바이스 맵에서 IT 디바이스는 서브넷별로 자동으로 집계되며, 필요에 따라 각 서브넷 보기를 확장 및 축소하여 드릴다운할 수 있습니다.
  • Azure 디바이스 인벤토리에서 서브넷이 구성되면 네트워크 위치(공개 미리 보기) 필터를 사용하여 서브넷 목록에 정의된 대로 로컬 또는 라우트된 디바이스를 봅니다. 나열된 서브넷과 연결된 모든 디바이스는 로컬표시되고 목록에 포함되지 않은 검색된 서브넷과 연결된 디바이스는 라우트됨으로 표시됩니다.

OT 네트워크 센서는 네트워크의 서브넷을 자동으로 학습하지만 학습된 설정을 확인하고 필요에 따라 업데이트하여 지도 보기 및 디바이스 인벤토리를 최적화하는 것이 좋습니다. 서브넷으로 나열되지 않은 모든 서브넷은 외부 네트워크로 처리됩니다.

대규모로 OT 센서 설정 관리를 시작할 준비가 되면 Azure Portal에서 서브넷을 정의합니다. Azure Portal에서 설정을 적용하면 센서 콘솔의 설정이 읽기 전용입니다. 자세한 내용은 Azure Portal에서 OT 센서 설정 구성(공개 미리 보기)을 참조하세요.

검색된 서브넷을 미세 조정하려면 다음을 수행합니다.

  1. 관리 사용자로 OT 센서에 로그인하고 시스템 설정>기본>서브넷을 선택합니다. 예시:

    Screenshot of the Subnets page in the OT sensor settings.

  2. 다음 옵션 중 어느 것을 사용하여 나열된 서브넷을 업데이트합니다.

    이름 설명
    서브넷 가져오기 를 가져옵니다. 서브넷 정의의 CSV 파일입니다. 서브넷 정보는 가져온 정보로 업데이트됩니다. 빈 필드를 가져오면 해당 필드의 데이터가 손실됩니다.
    서브넷 내보내기 현재 나열된 서브넷을 .으로 내보냅니다. CSV 파일.
    모두 지우기 현재 정의된 모든 서브넷을 지웁니다.
    자동 서브넷 학습 기본적으로 선택됩니다. 센서가 서브넷을 자동으로 검색하지 못하도록 하려면 이 옵션을 선택 취소합니다.
    모든 인터넷 트래픽을 내부/프라이빗으로 해결 모든 공용 IP 주소를 프라이빗 로컬 주소로 고려하려면 선택합니다. 이 옵션을 선택하면 공용 IP 주소가 로컬 주소로 처리되고 무단 인터넷 활동에 대한 경고가 전송되지 않습니다.

    이 옵션은 외부 주소에 대해 수신된 알림 및 경고를 줄입니다.
    IP 주소 서브넷의 IP 주소를 정의합니다.
    마스크 서브넷의 IP 마스크를 정의합니다.
    이름 서브넷의 네트워크 역할을 지정하는 의미 있는 이름을 입력하는 것이 좋습니다. 서브넷 이름은 최대 60자를 가질 수 있습니다.
    차별 Purdue 수준에 따라 디바이스 맵을 표시할 때 이 서브넷을 개별적으로 표시하려면 선택합니다.
    서브넷 제거 IoT/OT 네트워크 범위와 관련이 없는 서브넷을 제거하려면 선택합니다.

    서브넷 그리드에서 ICS 서브넷으로 표시된 서브넷 은 OT 네트워크로 인식됩니다. 이 옵션은 이 표에서 읽기 전용이지만 OT 서브넷이 제대로 인식되지 않는 경우 서브넷을 ICS로 수동으로 정의할 수 있습니다.

  3. 완료되면 저장을 선택하여 업데이트를 저장합니다.

자동 서브넷 학습 설정을 사용하지 않도록 설정하고 IoT/OT 범위에 있는 로컬로 모니터링되는 서브넷만 포함하도록 서브넷 목록을 편집한 후에는 네트워크 위치별로 Azure 디바이스 인벤토리를 필터링하여 로컬정의된 디바이스만 볼 수 있습니다. 자세한 내용은 디바이스 인벤토리 보기를 참조하세요.

서브넷을 ICS로 수동으로 정의

센서에 의해 자동으로 ICS 서브넷으로 표시되지 않는 OT 서브넷이 있는 경우 관련 서브넷에 있는 디바이스의 디바이스 유형을 ICS 또는 IoT 디바이스 유형으로 편집합니다. 그러면 센서가 서브넷을 자동으로 ICS 서브넷으로 표시합니다.

참고 항목

ICS로 표시되도록 서브넷을 수동으로 변경하려면 OT 센서의 디바이스 인벤토리에서 디바이스 유형을 변경합니다. Azure Portal에서 서브넷 목록의 서브넷은 센서 설정에서 기본적으로 ICS로 표시됩니다.

서브넷을 수동으로 업데이트하도록 디바이스 유형을 변경하려면 다음을 수행합니다.

  1. OT 센서 콘솔에 로그인하고 디바이스 인벤토리이동합니다.

  2. 디바이스 인벤토리 그리드의 관련 서브넷에서 디바이스를 선택한 다음 페이지 위쪽의 도구 모음에서 편집을 선택합니다.

  3. 형식 필드의 ICS 또는 IoT 아래에 나열된 드롭다운 목록에서 디바이스 유형을 선택합니다.

이제 서브넷이 센서에서 ICS 서브넷으로 표시됩니다.

자세한 내용은 디바이스 세부 정보 편집을 참조하세요.

포트 및 VLAN 이름 사용자 지정

다음 절차를 사용하여 OT 네트워크 센서에서 포트 및 VLAN 이름을 사용자 지정하여 Defender for IoT에 표시된 디바이스 데이터를 보강합니다.

예를 들어 호출하기 위해 비정상적으로 높은 활동을 표시하는 예약이 불가능한 포트에 이름을 할당하거나 VLAN 번호에 이름을 할당하여 더 빨리 식별할 수 있습니다.

참고 항목

클라우드 연결 센서의 경우 결국 Azure Portal에서 OT 센서 설정 구성을 시작할 수 있습니다. Azure Portal에서 설정 구성을 시작하면 OT 센서의 VLAN포트 명명 창이 읽기 전용입니다. 자세한 내용은 Azure Portal에서 OT 센서 설정 구성을 참조 하세요.

검색된 포트의 이름 사용자 지정

Defender for IoT는 DHCP 또는 HTTP와 같이 가장 보편적으로 예약되는 포트에 이름을 자동으로 할당합니다. 그러나 특정 포트의 이름을 사용자 지정하여 강조 표시할 수 있습니다(예: 비정상적으로 많이 검색된 작업이 있는 포트를 감시하는 경우).

포트 이름은 OT 센서의 디바이스 맵에서 디바이스 그룹을 볼 때 또는 포트 정보를 포함하는 OT 센서 보고서를 만들 때 Defender for IoT에 표시됩니다.

포트 이름을 사용자 지정하려면 다음을 수행합니다.

  1. 관리 사용자로 OT 센서에 로그인합니다.

  2. 시스템 설정을 선택한 다음 네트워크 모니터링에서 포트 명명을 선택합니다.

  3. 표시되는 포트 명명 창에서 이름을 지정하려는 포트 번호, 포트의 프로토콜 및 의미 있는 이름을 입력합니다. 지원되는 프로토콜 값에는 TCP, UDP둘 다가 포함됩니다.

  4. + 포트 추가를 선택하여 다른 포트를 사용자 지정하고 완료되면 저장합니다.

VLAN 이름 사용자 지정

VLAN은 OT 네트워크 센서에 의해 자동으로 검색되거나 수동으로 추가됩니다. 자동으로 검색된 VLAN은 편집하거나 삭제할 수 없지만 수동으로 추가된 VLAN에는 고유한 이름이 필요합니다. VLAN 이름이 명시적으로 지정되지 않은 경우 VLAN 번호가 대신 표시됩니다.

VLAN의 지원은 802.1q(VLAN ID 4094까지)를 기준으로 합니다.

참고 항목

VLAN 이름은 OT 네트워크 센서와 온-프레미스 관리 콘솔 간에 동기화되지 않습니다. 온-프레미스 관리 콘솔에서 사용자 지정 VLAN 이름을 보려면 여기에서도 VLAN 이름을 정의합니다.

OT 네트워크 센서에서 VLAN 이름을 구성하려면 다음을 수행합니다.

  1. OT 센서에 관리 사용자로 로그인합니다.

  2. 시스템 설정 선택한 다음 네트워크 모니터링에서 VLAN 명명을 선택합니다.

  3. 표시되는 VLAN 명명 창에 VLAN ID와 고유한 VLAN 이름을 입력합니다. VLAN 이름은 최대 50자의 ASCII 문자를 포함할 수 있습니다.

  4. + VLAN 추가를 선택하여 다른 VLAN을 사용자 지정하고 완료되면 저장합니다.

  5. Cisco 스위치의 경우: SPAN 포트 구성에 monitor session 1 destination interface XX/XX encapsulation dot1q 명령을 추가합니다. 여기서 XX/XX는 포트의 이름과 번호입니다.

DHCP 주소 범위 구성

OT 네트워크는 정적 및 동적 IP 주소로 구성될 수 있습니다.

  • 정적 주소는 일반적으로 역사가, 컨트롤러 및 스위치 및 라우터와 같은 네트워크 인프라 디바이스를 통해 OT 네트워크에서 찾을 수 있습니다.
  • 동적 IP 할당 은 일반적으로 여러 위치에서 Wi-Fi 또는 LAN 물리적 연결을 사용하여 노트북, PC, 스마트폰 및 기타 휴대용 장비가 있는 게스트 네트워크에서 구현됩니다.

동적 네트워크를 사용하는 경우 각 OT 네트워크 센서에서 DHCP 주소 범위를 정의하여 IP 주소 변경이 발생할 때 처리해야 합니다. IP 주소가 DHCP 주소로 정의되면 Defender for IoT는 IP 주소 변경에 관계없이 동일한 디바이스에서 발생하는 모든 활동을 식별합니다.

DHCP 주소 범위를 정의하려면 다음을 수행합니다.

  1. OT 센서에 로그인하고 시스템 설정>네트워크 모니터링>DHCP 범위를 선택합니다.

  2. 다음 중 하나를 수행합니다.

    • 단일 범위를 추가하려면 + 범위 추가를 선택하고 IP 주소 범위와 범위의 선택적 이름을 입력합니다.
    • 여러 범위를 추가하려면 .를 만듭니다. 각 범위에 대한 From, ToName 데이터에 대한 열이 있는 CSV 파일입니다. 가져오기를 선택하여 파일을 OT 센서로 가져옵니다. 에서 가져온 범위 값입니다. CSV 파일은 센서에 대해 현재 구성된 범위 데이터를 덮어씁니다.
    • 현재 구성된 범위를 .로 내보내려면 CSV 파일, 내보내기 선택
    • 현재 구성된 모든 범위를 지우려면 모두 지우기를 선택합니다.

    범위 이름은 최대 256자를 가질 수 있습니다.

  3. 저장을 선택하여 변경 내용을 저장합니다.

트래픽 필터 구성(고급)

경고 피로를 줄이고 우선 순위가 높은 트래픽에 네트워크 모니터링에 집중하려면 원본에서 Defender for IoT로 스트리밍되는 트래픽을 필터링하도록 결정할 수 있습니다. 캡처 필터는 OT 센서 CLI를 통해 구성되며 하드웨어 계층에서 대역폭이 높은 트래픽을 차단하여 어플라이언스 성능 및 리소스 사용량을 모두 최적화할 수 있습니다.

자세한 내용은 다음을 참조하세요.

다음 단계

« OT 센서에서 프록시 설정 구성

검색된 디바이스 인벤토리 확인 및 업데이트 »