Share via

이벤트 타임라인으로 네트워크 및 센서 작업 추적

  • 아티클

Microsoft Defender for IoT 센서에서 검색한 작업은 이벤트 타임라인에 기록됩니다. 작업에는 경고 및 경고 관리 작업, 네트워크 이벤트, 사용자 로그인 또는 사용자 삭제와 같은 사용자 작업이 포함됩니다.

OT 센서의 이벤트 타임라인은 모든 네트워크 활동의 연대순 보기와 컨텍스트를 제공하여 인시던트의 원인과 영향을 파악하는 데 도움을 줍니다. 타임라인 보기를 통해 네트워크 이벤트에서 정보를 쉽게 추출하고 네트워크에서 관찰된 경고 및 이벤트를 보다 효율적으로 분석할 수 있습니다. 방대한 양의 데이터를 저장할 수 있는 기능을 갖춘 이벤트 타임라인 보기는 보안 팀이 조사를 수행하고 네트워크 활동을 더 깊이 이해할 수 있는 귀중한 리소스가 될 수 있습니다.

조사 중에 이벤트 타임라인을 사용하여 공격 또는 인시던트 이전 및 이후에 발생한 이벤트 체인을 이해하고 분석합니다. 동일한 타임라인에 있는 여러 보안 관련 이벤트의 중앙 집중식 보기는 패턴과 상관 관계를 식별하는 데 도움이 되며 보안 팀이 인시던트의 영향을 신속하게 평가하고 그에 따라 대응할 수 있도록 합니다.

자세한 내용은 다음을 참조하세요.

사용 권한

이 문서에 설명된 절차를 수행하기 전에 관리 또는 보안 분석가 역할로 OT 센서에 액세스할 수 있는지 확인합니다. 자세한 내용은 Defender for IoT를 사용한 OT 모니터링을 위한 온-프레미스 사용자 및 역할을 참조하세요.

이벤트 타임라인 보기

  1. 센서 콘솔에 로그인하고 왼쪽 메뉴에서 이벤트 타임라인을 선택합니다.

  2. 필요에 따라 이벤트를 검토하고 필터링합니다.

  3. 이벤트 행을 선택하면 오른쪽 창에서 이벤트 세부 정보를 볼 수 있으며 여기에서 필터링하여 관련 디바이스의 이벤트를 볼 수도 있습니다. 사용자 작업 필터는 기본적으로 켜져 있으며 필요에 따라 사용자 이벤트를 숨기거나 표시하도록 선택할 수 있습니다.

    예시:

    Screenshot of events on the event timeline.

디바이스 인벤토리에서 특정 디바이스의 이벤트 타임라인을 볼 수도 있습니다.

특정 디바이스의 이벤트 타임라인을 보려면:

  1. 센서 콘솔에서 디바이스 인벤토리로 이동합니다.

  2. 특정 디바이스를 선택하여 디바이스 세부 정보 창을 연 다음 전체 세부 정보 보기를 선택하여 디바이스 속성 페이지를 엽니다.

  3. 이벤트 타임라인 탭을 선택하여 이 디바이스와 관련된 모든 이벤트를 보고 필요에 따라 이벤트를 필터링합니다.

    예시:

    Screenshot of event timeline tab in device properties page.

타임라인에서 이벤트 필터링

  1. 이벤트 타임라인 페이지에서 필터 추가를 선택하여 표시되는 이벤트를 지정합니다.

  2. 필터 형식을 선택합니다. 다음 옵션 중 하나를 사용하여 표시된 디바이스를 필터링합니다.

    Type 설명
    사용자 작업 이 필터는 기본적으로 켜져 있으며 사용자 작업 이벤트를 표시하거나 숨기도록 선택합니다.
    날짜 특정 날짜 범위의 이벤트를 검색합니다.
    디바이스 그룹 디바이스 맵에 정의된 대로 그룹별로 특정 디바이스를 필터링합니다.
    이벤트 심각도 경고만, 경고 및 경고 또는 모든 이벤트를 표시합니다.
    디바이스 제외 제외하려는 디바이스를 검색하고 필터링합니다.
    디바이스 포함 포함하려는 디바이스를 검색하고 필터링합니다.
    이벤트 유형 제외 제외할 특정 이벤트 유형을 검색하고 필터링합니다.
    이벤트 유형 포함 포함할 특정 이벤트 유형을 검색하고 필터링합니다.
    키워드 특정 키워드로 이벤트를 필터링합니다.

  3. 적용을 선택하여 필터를 설정합니다.

이벤트 타임라인을 CSV로 내보내기

이벤트 타임라인을 CSV 파일로 내보낼 수 있으며 내보낸 데이터는 내보낼 때 적용된 필터에 따릅니다.

이벤트 타임라인 내보내기:

이벤트 타임라인 페이지 상단 메뉴에서 내보내기를 선택하여 이벤트 타임라인을 CSV 파일로 내보냅니다.

이벤트 만들기

센서가 검색한 이벤트를 보는 것 외에도 타임라인에 이벤트를 수동으로 추가할 수 있습니다. 이 프로세스는 외부 시스템 이벤트가 네트워크에 영향을 주고 해당 이벤트를 타임라인에 기록하려는 경우에 유용합니다.

  1. 이벤트 타임라인 페이지에서 이벤트 만들기를 선택합니다.

  2. 이벤트 만들기 대화 상자에서 다음 이벤트 세부 정보를 추가합니다.

    • 유형. 이벤트 유형(정보, 경고 또는 경고)을 지정합니다.

    • 타임스탬프. 이벤트 날짜와 시간을 설정합니다.

    • 디바이스. 이벤트가 연결되어야 하는 디바이스를 선택합니다.

    • 설명. 이벤트에 대한 설명을 제공합니다.

  3. 저장을 선택하여 타임라인에 이벤트를 추가합니다.

예시:

Screenshot of creating a new event in the timeline.

이벤트 타임라인 용량

이벤트 타임라인에 저장할 수 있는 데이터의 양은 네트워크 크기, 이벤트 빈도 및 센서의 저장 용량과 같은 다양한 요인에 따라 다릅니다. 이벤트 타임라인에 저장된 데이터에는 네트워크 트래픽, 보안 이벤트 및 기타 관련 데이터 포인트에 대한 정보가 포함될 수 있습니다.

이벤트 타임라인에 표시되는 최대 이벤트 수는 센서 설치 중에 선택한 하드웨어 프로필에 따라 다릅니다. 각 하드웨어 프로필에는 최대 이벤트 용량이 있습니다. 각 하드웨어 프로필의 최대 이벤트 용량에 대한 자세한 내용은 OT 이벤트 타임라인 보관을 참조하세요.

다음 단계

자세한 내용은 다음을 참조하세요.