Share via

온-프레미스 OT 경고 정보 전달

  • 아티클

Microsoft Defender for IoT 경고는 네트워크에 기록된 이벤트와 관련된 실시간 세부 정보로 네트워크 보안 및 운영을 강화합니다. OT 네트워크 센서가 네트워크 트래픽에서 주의를 기울여야 하는 변경 내용 또는 의심스러운 활동을 탐지하면 OT 경고가 트리거됩니다.

이 문서에서는 파트너 서비스, syslog 서버, 이메일 주소 등에 경고를 전달하도록 OT 센서 또는 온-프레미스 관리 콘솔을 구성하는 방법을 설명합니다. 전달된 경고 정보에는 다음과 같은 세부 정보가 포함됩니다.

  • 경고의 날짜 및 시간
  • 이벤트를 검색한 엔진
  • 경고 제목 및 설명 메시지
  • 경고 심각도
  • 원본 및 대상 이름과 IP 주소
  • 의심스러운 트래픽이 탐지됨
  • 센서 연결 해제
  • 원격 백업 실패

참고 항목

전달 경고 규칙은 전달 규칙이 만들어진 후 트리거된 경고에서만 실행됩니다. 전달 규칙이 만들어지기 전에 이미 시스템에 있는 경고는 규칙의 영향을 받지 않습니다.

필수 조건

OT 센서에서 전달 규칙 만들기

  1. OT 센서에 로그인하고 왼쪽 메뉴 >+ 새 규칙 만들기에서 전달을 선택합니다.

  2. 전달 규칙 추가 창에서 의미 있는 규칙 이름을 입력한 후 다음과 같이 규칙 조건과 작업을 정의합니다.

    이름 설명
    최소 경고 수준 전달하려는 최소 경고 심각도 수준을 선택합니다.

    예를 들어 경미를 선택하면 경미한 경고 및 이 심각도 수준 이상의 모든 경고가 전달됩니다.
    검색된 모든 프로토콜 모든 프로토콜의 경고를 전달하려면 켜고 아니면 끈 다음 포함할 특정 프로토콜을 선택합니다.
    모든 엔진에서 검색된 트래픽 모든 분석 엔진의 경고를 전달하려면 켜고 아니면 끝 다음 포함할 특정 엔진을 선택합니다.
    actions 경고를 전달할 서버 유형을 선택한 후 해당 서버 유형에 필요한 기타 정보를 정의합니다.

    동일한 규칙에 여러 서버를 추가하려면 + 서버 추가를 선택하고 자세한 내용을 추가합니다.

    자세한 내용은 경고 전달 규칙 작업 구성을 참조하세요.

  3. 규칙 구성이 완료되면 저장을 선택합니다. 규칙이 전달 페이지에 나열됩니다.

  4. 만든 규칙을 테스트합니다.

    1. 규칙 >테스트 메시지 보내기에 대한 옵션 메뉴(...)를 선택합니다.
    2. 대상 서비스로 이동하여 센서에서 보낸 정보를 받았는지 확인합니다.

OT 센서에서 전달 규칙 편집 또는 삭제

기존 규칙을 편집하거나 삭제하려면 다음을 수행합니다.

  1. OT 센서에 로그인하고 왼쪽 메뉴에서 전달을 선택합니다.

  2. 규칙 옵션 메뉴(...)를 선택한 후 다음 중 하나를 수행합니다.

    • 필요에 따라 편집을 선택하고 필드를 업데이트합니다. 완료되면 저장을 선택합니다.

    • 삭제>를 선택하여 삭제를 확인합니다.

온-프레미스 관리 콘솔에서 전달 규칙 만들기

관리 콘솔에서 전달 규칙을 만들려면 다음을 수행합니다.

  1. 온-프레미스 관리 콘솔에 로그인하고 왼쪽 메뉴에서 전달을 선택합니다.

  2. 오른쪽 위에 있는 + 단추를 선택하여 새 규칙을 만듭니다.

  3. 전달 규칙 만들기 창에서 규칙에 의미 있는 이름을 입력한 후 다음과 같이 규칙 조건과 작업을 정의합니다.

    이름 설명
    최소 경고 수준 대화 상자의 오른쪽 위에서 드롭다운 목록을 사용하여 전달하려는 최소 경고 심각도 수준을 선택합니다.

    예를 들어 경미를 선택하면 경미한 경고 및 이 심각도 수준 이상의 모든 경고가 전달됩니다.
    프로토콜 여 모든 프로토콜 트래픽에서 경고를 전달하려면 모두를 선택하고, 특정 프로토콜만 추가하려면 특정을 선택합니다.
    엔진 모든 센서 분석 엔진에서 트리거되는 경고를 전달하려면 모두를 선택하고, 특정 엔진만 추가하려면 특정을 선택합니다.
    시스템 알림 시스템 알림 보고 옵션을 선택하여 연결이 끊긴 센서 또는 원격 백업 실패에 대해 알립니다.
    경고 알림 경고 알림 보고 옵션을 선택하여 경고의 날짜/시간, 제목, 심각도, 원본/대상 이름 및 IP 주소, 의심스러운 트래픽, 이벤트를 탐지한 엔진에 대해 알립니다.
    actions 추가를 선택하여 적용할 작업을 추가하고 선택한 작업에 필요한 매개 변수 값을 입력합니다. 여러 작업을 추가하려면 필요에 따라 반복합니다.

    자세한 내용은 경고 전달 규칙 작업 구성을 참조하세요.

  4. 규칙 구성이 완료되면 저장을 선택합니다. 규칙이 전달 페이지에 나열됩니다.

  5. 만든 규칙을 테스트합니다.

    1. 규칙 행에서 이 전달 규칙 테스트 단추를 선택합니다. 메시지가 전송되면 성공 알림이 표시됩니다.
    2. 파트너 시스템으로 이동하여 센서에서 보낸 정보를 받았는지 확인합니다.

온-프레미스 관리 콘솔에서 전달 규칙 편집 또는 삭제

기존 규칙을 편집하거나 삭제하려면 다음을 수행합니다.

  1. 온-프레미스 관리 콘솔에 로그인하고 왼쪽 메뉴에서 전달을 선택합니다.

  2. 규칙의 행을 찾은 다음 편집 또는 삭제 단추를 선택합니다.

경고 전달 규칙 작업 구성

이 섹션에서는 OT 센서 또는 온-프레미스 관리 콘솔에서 지원되는 전달 규칙 작업에 대한 설정을 구성하는 방법을 설명합니다.

전자 메일 주소 작업

경고 데이터를 구성된 이메일 주소로 전달하도록 이메일 작업을 구성합니다.

작업 영역에서 다음 값을 정의합니다.

이름 설명
서버 전자 메일을 선택합니다.
전자 메일 경고를 전달할 이메일 주소를 입력합니다. 각 규칙은 단일 이메일 주소를 지원합니다.
표준 시간대 대상 시스템의 경고 검색에 사용할 표준 시간대를 선택합니다.

Syslog 서버 작업

경고 데이터를 선택한 유형의 Syslog 서버로 전달하도록 Syslog 서버 작업을 구성합니다.

작업 영역에서 다음 값을 정의합니다.

이름 설명
서버 다음 유형의 syslog 형식 중 하나를 선택합니다.

- SYSLOG Server(CEF 형식)
- SYSLOG Server(LEEF 형식)
- SYSLOG Server(개체)
- SYSLOG Server(문자 메시지)
호스트 / 포트 syslog 서버의 호스트 이름과 포트를 입력합니다.
표준 시간대 대상 시스템의 경고 검색에 사용할 표준 시간대를 선택합니다.
프로토콜 문자 메시지에 한해 지원됩니다. TCP 또는 UDP를 선택합니다.
암호화 사용 CEF 형식에 한해 지원합니다. TLS 암호화 인증서 파일, 키 파일 및 암호를 구성하려면 켭니다.

다음 섹션에서는 각 형식에 대한 syslog 출력 구문을 설명합니다.

Syslog 텍스트 메시지 출력 필드

이름 설명
우선 순위 사용자. 경고
메시지 CyberX 플랫폼 이름: 센서 이름입니다.
Microsoft Defender for IoT 경고: 경고 제목입니다.
유형: 경고의 형식입니다. 프로토콜 위반, 정책 위반, 맬웨어, 비정상 또는 운영상 이 될 수 있습니다.
심각도: 경고의 심각도입니다. 경고, 부분, 다수또는 중요일 수 있습니다.
원본: 디바이스 이름을 확인합니다.
원본 디바이스 IP 주소
프로토콜(선택 사항): 검색된 원본 프로토콜입니다.
주소(선택 사항): 원본 프로토콜 주소입니다.
대상: 대상 디바이스 이름입니다.
대상 IP: 대상 디바이스의 IP 주소입니다.
프로토콜(선택 사항): 검색된 대상 프로토콜입니다.
주소(선택 사항): 대상 프로토콜 주소입니다.
메시지: 경고의 메시지입니다.
경고 그룹: 경고와 연결된 경고 그룹입니다.
UUID(선택 사항): 경고의 UUID입니다.

Syslog 개체 출력 필드

이름 설명
우선 순위 User.Alert
날짜 및 시간 Syslog 서버 시스템이 정보를 수신한 날짜 및 시간입니다.
Hostname 센서 IP
메시지 센서 이름: 어플라이언스 이름입니다.
경고 시간: 경고가 탐지된 시간: syslog 서버 컴퓨터의 시간과 다를 수 있으며 전달 규칙의 표준 시간대 구성에 따라 달라집니다.
경고 제목: 경고의 제목.
경고 메세지: 경고의 메시지.
경고 심각도: 경고의 심각한 수준: 경고, 경미, 중대 또는 위험입니다.
경고 형식: 프로토콜 위반, 정책 위반, 맬웨어, 비정상 또는 운영상.
프로토콜: 경고의 프로토콜입니다.
Source_MAC: IP 주소, 이름, 공급 업체 또는 원본 디바이스의 OS.
Destination_MAC: IP 주소, 이름, 공급 업체 또는 대상 디바이스의 OS. 데이터가 누락된 경우 값은 N/A입니다.
경고 그룹: 경고와 연결된 경고 그룹입니다.

Syslog CEF 출력 필드

이름 설명
우선 순위 User.Alert
날짜 및 시간 센서가 정보를 보낸 날짜 및 시간(UTC 형식)
Hostname 센서 호스트 이름
메시지 CEF:0
Microsoft Defender for IoT/CyberX
센서 이름
센서 버전
IoT용 Microsoft Defender 경고
경고 제목
심각도의 정수 표시입니다. 1=경고, 4=경미, 8=중대 또는 10=위험.
msg= 경고의 메시지.
protocol= 경고의 프로토콜.
severity= 경고, 경미, 중대 또는 위험.
type= 프로토콜 위반, 정책 위반, 맬웨어, 비정상 또는 운영상.
UUID= 경고의 UUID(선택 사항).
start= 경고가 검색된 시간.
syslog 서버 컴퓨터의 시간과 다를 수 있으며 전달 규칙의 시간대 구성에 따라 달라집니다.
src_ip: 원본 디바이스의 IP 주소. (선택 사항)
src_mac= 원본 디바이스의 MAC 주소. (선택 사항)
dst_ip= 대상 디바이스의 IP 주소. (선택 사항)
dst_mac= 대상 디바이스의 MAC 주소. (선택 사항)
cat= 경고와 연결된 경고 그룹.

Syslog LEEF 출력 필드

이름 설명
우선 순위 User.Alert
날짜 및 시간 센서가 정보를 보낸 날짜 및 시간(UTC 형식)
Hostname 센서 IP
메시지 센서 이름: IoT용 Microsoft Defender 어플라이언스의 이름입니다.
LEEF:1.0
Microsoft Defender for IoT
센서
센서 버전
IoT용 Microsoft Defender 경고
제목: 경고의 제목입니다.
msg: 경고의 메시지.
프로토콜 - 경고의 프로토콜.
심각도:경고, 경미, 중대또는 위험.
형식: 경고의 형식: 프로토콜 위반, 정책 위반, 맬웨어, 변칙 또는 작동입니다.
시작: 경고의 시간. syslog 서버 컴퓨터의 시간과 다를 수 있으며, 표준 시간대 구성에 따라 달라집니다.
src_ip: 원본 디바이스의 IP 주소.
dst_ip: 대상 디바이스의 IP 주소.
cat: 경고와 연결된 경고 그룹.

웹후크 서버 작업

온-프레미스 관리 콘솔에서만 지원됩니다.

Defender for IoT 경고 이벤트를 구독하는 통합을 구성하도록 웹후크 작업을 구성합니다. 예를 들어 웹후크 서버에 경고 데이터를 보내 외부 SIEM 시스템, SOAR 시스템 또는 인시던트 관리 시스템을 업데이트합니다.

웹후크 서버로 전달되도록 경고를 구성하고 경고 이벤트가 트리거되면 온-프레미스 관리 콘솔에서 구성된 웹후크 URL에 HTTP POST 페이로드를 보냅니다.

작업 영역에서 다음 값을 정의합니다.

이름 설명
서버 웹후크를 선택합니다.
URL 웹후크 서버 URL을 입력합니다.
키/값 필요에 따라 키/값 쌍을 입력하여 HTTP 헤더를 사용자 지정합니다. 지원되는 문자는 다음과 같습니다.
- 는 문자, 숫자, 대시, 밑줄만 포함할 수 있습니다.
- 에는 선행 및/또는 후행 공백이 하나만 포함될 수 있습니다.

Webhook 확장

온-프레미스 관리 콘솔에서만 지원됩니다.

웹후크 서버에 다음과 같은 추가 데이터를 보내도록 웹후크 확장 작업을 구성합니다.

  • sensorID
  • sensorName
  • zoneID
  • zoneName
  • siteID
  • siteName
  • sourceDeviceAddress
  • destinationDeviceAddress
  • remediationSteps
  • handled
  • additionalInformation

작업 영역에서 다음 값을 정의합니다.

이름 설명
서버 웹후크 확장을 선택합니다.
URL 엔드포인트 데이터 URL을 입력합니다.
키/값 필요에 따라 키/값 쌍을 입력하여 HTTP 헤더를 사용자 지정합니다. 지원되는 문자는 다음과 같습니다.
- 는 문자, 숫자, 대시, 밑줄만 포함할 수 있습니다.
- 에는 선행 및/또는 후행 공백이 하나만 포함될 수 있습니다.

NetWitness 작업

서버에 경고 정보를 보내도록 NetWitness 작업을 구성합니다.

작업 영역에서 다음 값을 정의합니다.

이름 설명
서버 NetWitness를 선택합니다.
호스트 이름/포트 NetWitness 서버의 호스트 이름과 포트를 입력합니다.
표준 시간대 SIEM에서 경고 검색 시 타임 스탬프에서 사용할 표준 시간대를 입력합니다.

파트너 통합에 대한 전달 규칙 구성

Defender for IoT를 파트너 서비스와 통합하여 경고 또는 디바이스 인벤토리 정보를 다른 보안 또는 디바이스 관리 시스템에 보내거나, 파트너 쪽 방화벽과 통신할 수 있습니다.

파트너 통합은 이전에 사일로화된 보안 솔루션을 연결하고, 디바이스 가시성을 개선하며, 시스템 전체 응답을 가속화하여 위험을 보다 신속하게 완화하는 데 도움이 될 수 있습니다.

이러한 경우 지원되는 작업 영역을 사용하여 통합 파트너 서비스와 통신하는 데 필요한 자격 증명 및 기타 정보를 입력합니다.

자세한 내용은 다음을 참조하세요.

파트너 서비스에서 경고 그룹 구성

Syslog 서버, QRadar, ArcSight에 경고 데이터를 보내도록 전달 규칙을 구성하면 '경고 그룹'이 자동으로 적용되고 해당 파트너 서버에서 이를 사용할 수 있습니다.

'경고 그룹'은 SOC 팀이 이러한 파트너 솔루션을 사용해 엔터프라이즈 보안 정책과 비즈니스 우선 순위에 따라 경고를 관리하는 데 도움이 됩니다. 예를 들어 새 탐지 항목에 대한 경고는 검색 그룹으로 구성되며 새 디바이스, VLAN, 사용자 계정, MAC 주소 등에 대한 모든 경고를 포함합니다.

경고 그룹은 다음 접두사를 사용하여 파트너 서비스에 표시됩니다.

접두사 파트너 서비스
cat QRadar, ArcSight, Syslog CEF, Syslog LEEF
Alert Group Syslog 문자 메시지
alert_group Syslog 개체

통합에서 경고 그룹을 사용하려면 경고 그룹 이름을 표시하도록 파트너 서비스를 구성해야 합니다.

기본적으로 경고는 다음과 같이 그룹화됩니다.

  • 비정상적인 통신 동작
  • 사용자 지정 경고
  • 원격 액세스
  • 비정상적인 HTTP 통신 동작
  • 검색
  • 다시 시작 및 중지 명령
  • 인증
  • 펌웨어 변경
  • 검색
  • 무단 통신 동작
  • 잘못된 명령
  • 센서 트래픽
  • 대역폭 이상
  • 인터넷 액세스
  • 맬웨어가 의심됨
  • 버퍼 오버플로
  • 작업 실패
  • 악의적 활동이 의심됨
  • 명령 실패
  • 운영 문제
  • 구성 변경 내용
  • 프로그래밍

자세한 내용을 확인하고 사용자 지정 경고 그룹을 만들려면 Microsoft 지원에 문의하세요.

전달 규칙 문제 해결

전달 경고 규칙이 예상대로 작동하지 않는 경우 다음과 같은 세부 정보를 확인합니다.

  • 인증서 유효성 검사. Syslog CEF, Microsoft Sentinel, QRadar에 대한 전달 규칙은 암호화 및 인증서 유효성 검사를 지원합니다.

    OT 센서 또는 온-프레미스 관리 콘솔이 인증서의 유효성을 검사하도록 구성되어 있는데도 인증서를 확인할 수 없는 경우 경고가 전달되지 않습니다.

    이러한 경우 센서 또는 온-프레미스 관리 콘솔이 세션의 클라이언트이자 개시 장치입니다. 인증서는 일반적으로 서버에서 수신되거나, 통합을 설정하기 위한 특정 인증서가 제공되는 비대칭형 암호화를 사용합니다.

  • 경고 제외 규칙 온-프레미스 관리 콘솔에서 구성된 제외 규칙이 있는 경우 센서가 전달하려는 경고를 무시할 수 있습니다. 자세한 내용은 온-프레미스 관리 콘솔에서 경고 제외 규칙 만들기를 참조하세요.

다음 단계

Microsoft Defender for IoT 경고