Azure Portal에서 경고 보기 및 관리

아티클
02/15/2024

Microsoft Defender for IoT 경고는 네트워크에 기록된 이벤트에 대한 실시간 세부 정보를 사용하여 네트워크 보안 및 작업을 향상시킵니다. 이 문서에서는 OT 및 Enterprise IoT 네트워크 센서에서 생성된 경고를 포함하여 Azure Portal에서 Microsoft Defender for IoT 경고를 관리하는 방법을 설명합니다.

OT 경고는 각 OT 네트워크 센서 콘솔 또는 연결된 온-프레미스 관리 콘솔
Microsoft Sentinel과 통합하여 Microsoft Sentinel 에서 Defender for IoT 경고를 보고 보안 인시던트와 함께 관리합니다.
Microsoft Defender XDR에서 Enterprise IoT 보안을설정한 경우 엔드포인트용 Microsoft Defender 감지된 Enterprise IoT 디바이스에 대한 경고는 엔드포인트용 Defender에서만 사용할 수 있습니다.

자세한 내용은 엔터프라이즈의 IoT 디바이스 보안 및 Microsoft Defender XDR 의 경고 큐를 참조하세요.

필수 조건

Defender for IoT에서 경고를 사용하려면 OT가 온보딩되고 네트워크 데이터가 Defender for IoT로 스트리밍되어야 합니다.
Azure Portal에서 경고를 보려면 보안 읽기 권한자, 보안 관리 , 참가자 또는 소유자로 액세스할 수 있어야 합니다.
Azure Portal에서 경고를 관리하려면 보안 관리, 기여자 또는 소유자로 액세스할 수 있어야 합니다. 경고 관리 활동에는 상태 또는 심각도 수정, 경고 학습, PCAP 데이터 액세스 또는 경고 억제 규칙 사용이 포함됩니다.

자세한 내용은 Defender for IoT에 대한 Azure 사용자 역할 및 권한을 참조하세요.

Azure Portal에서 경고 보기

Azure Portal의 Defender for IoT에서 왼쪽의 경고 페이지를 선택합니다. 기본적으로 다음 세부 정보는 표에 표시됩니다.

열	설명
심각도	필요에 따라 수정할 수 있는 센서에 의해 할당된 미리 정의된 경고 심각도입니다.
이름	경고 제목입니다.
사이트	사이트 및 센서 페이지에 나열된 대로 경고를 검색한 센서와 연결된 사이트입니다.
엔진	활동을 감지하고 경고를 트리거한 Defender for IoT 검색 엔진입니다. 참고: 마이크로 에이전트 값은 이벤트가 Defender for IoT Device Builder 플랫폼에 의해 트리거되었음을 나타냅니다.
마지막 검색	경고가 마지막으로 검색된 시간입니다. - 경고 상태가 신규이고 동일한 트래픽이 다시 표시되면 동일한 경고에 대해 마지막 검색 시간이 업데이트됩니다. - 경고 상태가 닫힘이고 트래픽이 다시 표시되면 마지막 검색 시간이 업데이트되지 않고 새 경고가 트리거됩니다.
상태	경고 상태: 신규, 활성, 닫힘 자세한 내용은 경고 상태 및 심사 옵션을 참조하세요.
원본 디바이스	경고를 트리거한 트래픽이 발생한 디바이스의 IP 주소, MAC 주소 또는 이름입니다.
전술	MITRE ATT&CK 단계입니다.

자세한 내용을 보려면 열 편집 단추를 선택합니다.

오른쪽의 열 편집 창에서 열 추가 및 다음 추가 열 중 원하는 열을 선택합니다.

열	설명
원본 디바이스 주소	원본 디바이스의 IP 주소입니다.
대상 디바이스 주소	대상 디바이스의 IP 주소입니다.
대상 디바이스	대상 IP 또는 MAC 주소 또는 대상 디바이스 이름입니다.
첫 번째 검색	네트워크에서 경고가 처음 검색된 시간입니다.
ID	센서 콘솔의 ID와 일치하는 고유 경고 ID입니다. 참고: 경고가 동일한 경고를 감지한 센서의 다른 경고 와 병합된 경우 Azure Portal은 경고를 생성한 첫 번째 센서의 경고 ID를 표시합니다.
마지막 활동	심각도 또는 상태 대한 수동 업데이트 또는 디바이스 업데이트 또는 디바이스/경고 중복 제거에 대한 자동화된 변경 내용을 포함하여 경고가 마지막으로 변경된 시간
프로토콜	경고에 대한 네트워크 트래픽에서 검색된 프로토콜입니다.
센서	경고를 검색한 센서입니다.
영역	경고를 검색한 센서에 할당된 영역입니다.
범주	작업 문제, 사용자 지정 경고 또는 잘못된 명령과 같이 경고와* 연결된 범주입니다*.
Type	경고의 내부 이름입니다.

팁

예상보다 많은 경고가 표시되는 경우 합법적인 네트워크 활동에 대해 경고가 트리거되지 않도록 표시 안 함 규칙을 만들 수 있습니다. 자세한 내용은 관련 없는 경고 표시 안 을 참조 하세요.

표시된 경고 필터링

검색 상자, 시간 범위 및 필터 추가 옵션을 사용하여 특정 매개 변수로 표시되는 경고를 필터링하거나 특정 경고를 찾을 수 있습니다.

예를 들어 범주별로 경고를 필터링합니다.

표시된 경고 그룹화

오른쪽 위에 있는 그룹화 메뉴를 사용하여 특정 매개 변수에 따라 그리드를 하위 섹션으로 축소합니다.

예를 들어 총 경고 수가 표 위에 표시되는 동안 특정 심각도, 프로토콜 또는 사이트를 사용하는 경고 수와 같이 경고 수 분석과 관련된 보다 구체적인 정보를 원할 수 있습니다.

지원되는 그룹화 옵션에는 엔진, 이름, 센서, 심각도 및 사이트가 포함됩니다.

세부 정보 보기 및 특정 경고 수정

경고 페이지에서 표에서 경고를 선택하여 오른쪽 창에 자세한 내용을 표시합니다. 경고 세부 정보 창에는 경고 설명, 트래픽 원본 및 대상 등이 포함됩니다.

전체 세부 정보 보기를 선택하여 자세히 드릴다운합니다. 예시:
경고 세부 정보 페이지에서는 경고에 대한 자세한 내용과 작업 수행 탭의 수정 단계 집합을 제공합니다. 예를 들어:

경고 심각도 및 상태 관리

가능한 한 빨리 가장 위험한 경고의 우선 순위를 지정할 수 있도록 경고를 심사하는 즉시 Azure Portal에서 Defender for IoT의 경고 심각도를 업데이트하는 것이 좋습니다. 진행률이 기록되도록 수정 단계를 수행한 후 경고 상태 업데이트해야 합니다.

단일 경고에 대한 심각도 및 상태 모두 업데이트하거나 경고를 대량으로 선택할 수 있습니다.

검색된 네트워크 트래픽이 승인되었음을 Defender for IoT에 나타내도록 경고를 학습시킵니다. 학습된 경고는 다음에 네트워크에서 동일한 트래픽이 검색될 때 다시 트리거되지 않습니다. 학습은 선택한 경고에 대해서만 지원되며 학습 취소 는 OT 네트워크 센서에서만 지원됩니다.

자세한 내용은 경고 상태 및 심사 옵션을 참조하세요.

단일 경고를 관리하려면:
1. Azure Portal의 Defender for IoT에서 왼쪽의 경고 페이지를 선택한 다음 표에서 경고를 선택합니다.
2. 오른쪽의 세부 정보 창이나 경고 세부 정보 페이지 자체에서 새 상태 및/또는 심각도를 선택합니다.
여러 경고를 일괄 관리하려면:
1. Azure Portal의 Defender for IoT에서 왼쪽의 경고 페이지를 선택한 다음, 수정하려는 표에서 경고를 선택합니다.
2. 도구 모음에서 상태 변경 및/또는 심각도 변경 옵션을 사용하여 선택한 모든 경고의 상태 및/또는 심각도를 업데이트합니다.
하나 이상의 경고를 알아보려면 다음을 수행합니다.

Azure Portal의 Defender for IoT에서 왼쪽의 경고 페이지를 선택한 다음, 다음 중 하나를 수행합니다.
- 표에서 하나 이상의 학습 가능한 경고를 선택한 다음 도구 모음에서 학습을 선택합니다.
- 학습 가능한 경고에 대한 경고 세부 정보 페이지의 작업 수행 탭에서 [학습]을 선택합니다.