Azure Portal에서 IoT용 Defender로 센서를 관리합니다.
이 문서에서는 Azure Portal에서 Microsoft Defender for IoT로 센서를 보고 관리하는 방법을 설명합니다.
필수 조건
이 문서의 프로시저를 사용하려면 먼저 Defender for IoT에 온보딩된 네트워크 센서가 있어야 합니다. 자세한 내용은 다음을 참조하세요.
센서 보기
OT 및 엔터프라이즈 IoT 센서를 포함하여 현재 클라우드에 연결된 모든 센서는 사이트 및 센서 페이지에 나열됩니다. 예시:
각 센서에 대한 세부 정보는 다음 열에 나열되어 있습니다.
| 열 이름 | 설명 |
|---|---|
| 센서 이름 | 등록 중에 센서에 할당한 이름을 표시합니다. |
| 센서 유형 | 센서가 로컬로 연결된 OT, OT 클라우드 연결 또는 Enterprise IoT 센서인지 여부를 표시합니다. |
| 영역 | 이 센서가 포함된 영역을 표시합니다. |
| 구독 이름 | 이 센서가 속한 Microsoft Azure 계정 구독의 이름을 표시합니다. |
| 센서 버전 | 센서에 설치된 OT 모니터링 소프트웨어 버전을 표시합니다. |
| 센서 상태 | 센서 상태 메시지를 표시합니다. 자세한 내용은 센서 상태 이해를 참조하세요. |
| 마지막 연결 시간(UTC) | 센서가 마지막으로 연결된 시간을 표시합니다. |
| 위협 인텔리전스 버전 | OT 센서에 설치된 위협 인텔리전스 버전을 표시합니다. 버전 이름은 Defender for IoT에서 패키지를 빌드한 날짜를 기반으로 합니다. |
| 위협 인텔리전스 모드 | 위협 인텔리전스 업데이트 모드가 수동인지 자동인지 표시합니다. 수동은 필요에 따라 새로 릴리스된 패키지를 센서에 직접 푸시할 수 있음을 의미합니다. 그렇지 않으면 새 패키지가 모든 OT, 클라우드 연결 센서에 자동으로 설치됩니다. |
| 위협 인텔리전스 업데이트 상태 | OT 센서에서 위협 인텔리전스 패키지의 업데이트 상태를 표시합니다. 상태는 실패, 진행 중, 업데이트 가능 또는 확인 상태일 수 있습니다. |
Azure Portal의 사이트 관리 옵션
Defender for IoT에 새 OT 센서를 온보딩할 때 새 사이트 또는 기존 사이트에 추가할 수 있습니다. OT 네트워크를 사용할 때 센서를 사이트로 구성하면 센서를 보다 효율적으로 관리하고 네트워크 전체에서 제로 트러스트 전략에 맞출 수 있습니다.
Enterprise IoT 센서는 모두 Enterprise 네트워크라는 동일한 사이트에 자동으로 추가됩니다.
Azure Portal에서 사이트를 편집하려면 다음을 수행합니다.
사이트 및 센서 페이지에서 사이트 이름을 선택합니다. 오른쪽에 열리는 사이트 편집 창에서 다음 값을 편집합니다.
옵션 설명 표시 이름 의미 있는 범위 이름을 입력합니다. 담당자 OT 사이트에만 해당합니다. 이 사이트에서 디바이스 소유자로 지정하려는 사용자의 이메일 주소를 하나 이상 입력합니다. 사이트 소유자는 사이트의 모든 디바이스에서 상속되며 IoT 디바이스 엔터티 페이지 및 Microsoft Sentinel의 인시던트 세부 정보에 표시됩니다.
Microsoft Sentinel에서 AD4IoT-SendEmailtoIoTOwner 및 AD4IoT-CVEAutoWorkflow 플레이북을 사용하여 디바이스 소유자에게 중요한 경고이나 인시던트에 대해 자동으로 알립니다. 자세한 내용은 IoT 디바이스에 대한 위협 조사 및 검색를 참조하세요.태그 (선택 사항) 사이트에 추가하려는 각 새 태그의 키 및 값 필드에 값을 입력합니다. 새 태그를 추가하려면 + 추가를 선택합니다. OT 사이트에만 해당: 사이트당 지정된 권한을 정의하려면 사이트 액세스 제어 관리(미리 보기)를 선택합니다.
예를 들어 제로 트러스트 보안 전략의 일부로 이 작업을 수행하여 Azure 액세스 정책에 세분성 수준을 추가할 수 있습니다. Defender for IoT 사이트는 일반적으로 특정 주소에 있는 사무실 건물의 디바이스와 같이 특정 지리적 위치에 그룹화된 많은 디바이스를 반영합니다.
자세한 내용은 사이트 기반 액세스 제어 관리를 참조하세요.
선택을 마치면 저장을 선택하여 변경 내용을 저장합니다.
Azure Portal에서 센서 관리 옵션
IoT용 Defender에 온보딩한 센서는 IoT용 Defender 사이트 및 센서 페이지에 나열됩니다. 특정 센서 이름을 선택하여 해당 센서에 대한 자세한 정보로 드릴다운합니다.
사이트 및 센서 페이지 및 센서 세부 정보 페이지의 옵션을 사용하여 다음 작업을 수행합니다. 사이트 및 센서 페이지에 있는 경우 여러 센서를 선택해 도구 모음 옵션을 사용하여 작업을 대량으로 적용합니다. 개별 센서의 경우 사이트 및 센서 도구 모음 옵션, 센서 행 오른쪽의 ... 옵션 메뉴 또는 센서 세부 정보 페이지의 옵션을 사용합니다.
OT 센서 업데이트
| Task | 설명 |
|---|---|
 센서 업데이트(미리 보기) |
OT 센서만 해당됩니다. Azure Portal에서 직접 OT 센서에 대한 원격 업데이트를 실행하거나 업데이트 패키지를 다운로드하여 수동으로 업데이트합니다. 자세한 내용은 IoT용 Defender OT 모니터링 소프트웨어를 참조하세요. |
 위협 인텔리전스 업데이트(미리 보기) |
OT 센서만 해당됩니다. 사이트 및 센서 도구 모음의 대량 작업, ... 옵션 메뉴의 개별 센서 또는 센서 세부 정보 페이지에서 사용할 수 있습니다. 자세한 내용은 위협 인텔리전스 연구 및 패키지를 참조하세요. |
 자동 위협 인텔리전스 업데이트 편집 |
개별 OT 센서만 해당됩니다. ... 옵션 메뉴 또는 센서 세부 정보 페이지에서 사용할 수 있습니다. 편집을 선택한 다음, 필요에 따라 자동 위협 인텔리전스 업데이트(미리 보기) 옵션을 켜거나 끕니다. 제출을 클릭하여 변경 내용을 저장합니다. |
센서 배포 및 액세스
| Task | 설명 |
|---|---|
 OT 센서 암호 복구 |
개별 OT 센서만 해당됩니다. ... 옵션 메뉴 또는 센서 세부 정보 페이지에서 사용할 수 있습니다. 센서의 로그인 화면에서 가져온 비밀 식별자를 입력합니다. |
| 온-프레미스 관리 콘솔 암호 복구 | 사이트 및 센서 도구 모음 추가 작업 메뉴에서 사용할 수 있습니다. 자세한 내용은 온-프레미스 관리 콘솔 관리를 참조하세요. |
 활성화 파일 다운로드 |
개별 OT 센서만 해당됩니다. ... 옵션 메뉴 또는 센서 세부 정보 페이지에서 사용할 수 있습니다. |
| 센서 영역 편집 |
개별 센서의 경우에만 ... 옵션 메뉴 또는 센서 세부 정보 페이지에서 사용할 수 있습니다. 편집을 선택한 다음, 영역 메뉴에서 새 영역을 선택하거나 새 영역 만들기를 선택합니다. 제출을 클릭하여 변경 내용을 저장합니다. |
| SNMP MIB 파일 다운로드 | 사이트 및 센서 도구 모음 추가 작업 메뉴에서 사용할 수 있습니다. 자세한 내용은 OT 센서에서 SNMP MIB 상태 모니터링 설정을 참조하세요. |
| 활성화 명령 만들기 |
개별 엔터프라이즈 IoT 센서만 해당됩니다. ... 옵션 메뉴 또는 센서 세부 정보 페이지에서 사용할 수 있습니다. 편집을 선택한 다음, 활성화 만들기 명령을 선택합니다. 자세한 내용은 Enterprise IoT 센서 소프트웨어 설치를 참조하세요. |
| 엔드포인트 세부 정보 다운로드 | OT 센서만 해당됩니다. 사이트 및 센서 도구 모음 추가 작업 메뉴에서 사용할 수 있습니다. OT 네트워크 센서에서 보안 엔드포인트로 사용하도록 설정해야 하는 엔드포인트 목록을 다운로드합니다. 센서가 Azure에 연결할 수 있도록 포트 443을 통해 나열된 엔드포인트에 대한 HTTPS 트래픽이 사용하도록 설정되어 있는지 확인합니다. 아웃바운드 허용 규칙은 동일한 구독에 온보딩된 모든 OT 센서에 대해 한 번 정의됩니다. 이 옵션을 사용하도록 설정하려면 지원되는 소프트웨어 버전이 있는 센서를 선택하거나 지원되는 버전이 있는 하나 이상의 센서가 있는 사이트를 선택합니다. |
센서 유지 관리 및 문제 해결
| Task | 설명 |
|---|---|
 센서 설정(미리 보기) |
OT 센서만 해당됩니다. 하나 이상의 클라우드 연결 OT 네트워크 센서에 대해 선택한 센서 설정을 정의합니다. 자세한 내용은 Azure Portal에서 OT 센서 설정 정의 및 보기(공개 미리 보기)를 참조하세요. 다른 설정은 OT 센서 콘솔 또는 온-프레미스 관리 콘솔에서 직접 사용할 수도 있습니다. |
| 센서 데이터 내보내기 |
사이트 및 센서 도구 모음에서만 사용할 수 있으며 나열된 모든 센서에 대한 세부 정보가 포함된 CSV 파일을 다운로드할 수 있습니다. |
 센서 삭제 |
개별 센서의 경우에만 ... 옵션 메뉴 또는 센서 세부 정보 페이지에서 사용할 수 있습니다. |
 지원팀에 진단 파일 보내기 |
로컬로 관리되는 개별 OT 센서만 해당합니다. ... 옵션 메뉴에서 사용할 수 있습니다. 자세한 내용은 지원을 위해 진단 로그 업로드를 참조하세요. |
센서에 저장된 포렌식 데이터 검색
OT 네트워크 센서의 Azure Monitor 통합 문서를 사용하여 해당 센서의 스토리지에서 포렌식 데이터를 검색합니다. 다음 유형의 포렌식 데이터는 해당 센서에서 감지된 디바이스에 대해 OT 센서에 로컬로 저장됩니다.
- 디바이스 데이터
- 경고 데이터
- 경고 PCAP 파일
- 이벤트 타임라인 데이터
- 로그 파일
데이터 형식마다 보존 기간과 최대 용량이 다릅니다. 자세한 내용은 Azure Monitor 통합 문서를 사용하여 Microsoft Defender for IoT 데이터 시각화 및 Microsoft Defender for IoT에서서 데이터 보존을 참조하세요.
OT 센서 다시 활성화
다음을 수행하려는 경우 OT 센서를 다시 활성화해야 할 수 있습니다.
로컬 관리 모드 대신 클라우드 연결 모드에서 작업: 재활성화 후 기존 센서 검색이 센서 콘솔에 표시되고 새로 검색된 경고 정보가 Azure Portal의 IoT용 Defender를 통해 전달됩니다. 이 정보는 Microsoft Sentinel과 같은 다른 Azure 서비스와 공유할 수 있습니다.
클라우드 연결 모드 대신 로컬 관리 모드에서 작업: 다시 활성화 후 센서 감지 정보가 센서 콘솔에만 표시됩니다.
센서를 새 사이트에 연결: 새 사이트 정의로 센서를 다시 등록하고 새 활성화 파일을 사용하여 활성화합니다.
플랜 약정 변경: 평가판에서 월별 약정으로 가격 계획을 변경하는 등 계획을 변경하는 경우 새로운 변경 내용을 반영하도록 센서를 다시 활성화해야 합니다.
이러한 경우 다음 단계를 수행합니다.
- 기존 센서를 삭제합니다.
- 센서를 다시 온보딩하여 새 설정으로 다시 등록합니다.
- 새 활성화 파일을 업로드합니다.
센서 상태 이해
이 절차에서는 Azure Portal에서 센서 상태 데이터를 보는 방법을 설명합니다. 센서 상태에는 트래픽이 안정적인지 여부, 센서가 오버로드되었는지 여부, 센서 소프트웨어 버전에 대한 알림 등의 데이터가 포함됩니다.
전체 센서 상태를 보려면 다음을 수행합니다.
Azure Portal의 Defender for IoT에서 사이트 및 센서를 선택한 다음, 그리드 위의 위젯에서 전체 상태 점수를 확인합니다. 예시:
지원되지 않음은 센서에 더 이상 지원되지 않는 소프트웨어 버전이 설치되어 있음을 의미합니다.
비정상은 다음 시나리오 중 하나를 나타냅니다.
- Azure로의 센서 트래픽이 안정적이지 않음
- 센서가 정기적인 온전성 테스트에 실패
- 센서에 의해 검색된 트래픽 없음
- 센서 소프트웨어 버전은 더 이상 지원되지 않습니다.
- Azure Portal에서 원격 센서 업그레이드 실패
자세한 내용은 센서 상태 메시지 참조를 참조하세요.
특정 센서 문제를 확인하려면 센서 상태를 기준으로 그리드를 필터링하고 확인할 하나 이상의 문제를 선택합니다. 예시:
이제 그리드에 표시되는 필터링된 사이트 및 센서를 확장하고 센서 상태 열을 사용하여 높은 수준에서 자세히 알아봅니다.
자세히 드릴다운하고 권장 작업을 이해하려면 센서 이름을 선택하여 센서 세부 정보 페이지를 엽니다.
예시:
센서 세부 정보 개요 페이지에서 상태 섹션 및 나열된 모든 메시지를 확장하여 자세히 알아봅니다. 오른쪽의 권장 사항 열에는 상태 문제를 처리하기 위한 권장 작업이 나열됩니다.
자세한 내용은 센서 상태 메시지 참조를 참조하세요.
지원을 위해 진단 로그 업로드
로컬로 관리되는 센서에 대한 지원 티켓을 열어야 하는 경우 지원 팀을 위해 Azure Portal에 진단 로그를 업로드합니다.
팁
클라우드 연결 센서의 경우 지원 티켓을 열면 지원 팀에서 진단 로그를 자동으로 사용할 수 있습니다.
진단 보고서를 업로드하려면:
업로드에 사용할 수 있는 진단 보고서가 있는지 확인합니다. 자세한 내용은 지원을 위해 진단 로그 다운로드를 참조하세요.
Azure Portal의 Defender for IoT에서 사이트 및 센서 페이지로 이동하여 지원 티켓과 관련된 로컬 관리형 센서를 선택합니다.
선택한 센서에 대해 오른쪽 >지원팀에 진단 파일 보내기에서 ... 옵션 메뉴를 선택합니다. 예시:
