Share via

디바이스 맵에서 디바이스 조사

  • 아티클

OT 디바이스 맵은 OT 네트워크 센서에서 검색한 네트워크 디바이스와 디바이스 간 연결을 그래픽으로 표현합니다.

디바이스 맵을 사용하여 특정 관심 그룹 또는 Purdue 계층과 같은 디바이스 정보를 모두 한꺼번에 또는 네트워크 세그먼트별로 검색, 분석 및 관리할 수 있습니다. 온-프레미스 관리 콘솔 사용하는 에어 갭 환경에서 작업하는 경우 영역 맵을 사용하여 특정 영역의 연결된 모든 OT 센서에서 디바이스를 봅니다.

필수 조건

이 문서의 절차를 수행하기 전에 다음이 있는지 확인합니다.

영역의 여러 센서에서 디바이스를 보려면 여러 센서가 사이트 및 영역에 연결되고 할당된 온-프레미스 관리 콘솔이 설치, 활성화 및 구성되어 있어야 합니다.

OT 센서 디바이스 맵에서 디바이스 보기

  1. OT 센서에 로그인하고 디바이스 맵을 선택합니다. OT 센서에서 검색된 모든 디바이스는 기본적으로 Purdue 계층에 따라 표시됩니다.

    OT 센서의 디바이스 맵에서 다음이 적용됩니다.

    • 현재 활성 경고가 있는 디바이스가 빨간색으로 강조 표시됩니다.
    • 별표가 있는 디바이스는 중요 항목으로 표시된 디바이스입니다.
    • 경고가 없는 디바이스는 확대 연결 보기에서 검은색 또는 회색으로 표시됩니다.

    예시:

    Screenshot of a default view of an OT sensor's device map.

  2. 특정 디바이스를 확대하고 선택하여 디바이스 간 연결을 확인하고 파란색으로 강조 표시된 다른 디바이스를 볼 수 있습니다.

    확대하면 각 디바이스에 다음 세부 정보가 표시됩니다.

    • 디바이스의 호스트 이름, IP 주소 및 서브넷 주소(관련된 경우)
    • 현재 디바이스에서 활성 상태인 총 경고 수
    • 다양한 아이콘으로 표시되는 디바이스 유형
    • IT 네트워크의 서브넷에 그룹화된 디바이스 수(관련된 경우) 이 디바이스 수는 검은색 원으로 표시됩니다.
    • 디바이스가 새로 검색되었는지 또는 허가되지 않았는지

  3. 특정 디바이스를 마우스 오른쪽 단추로 클릭하고 속성 보기를 선택하여 디바이스의 디바이스 세부 정보 페이지에서 맵 보기 탭으로 드릴다운합니다.

OT 센서 맵 표시 수정

다음 맵 도구를 사용하여 표시된 데이터 및 표시 방법을 수정합니다.

이름 설명
맵 새로 고침 업데이트된 데이터를 사용하여 맵을 새로 고치려면 선택합니다.
알림 디바이스 알림을 보려면 선택합니다.
IP/MAC 기준으로 검색 맵을 필터링하여 특정 IP 또는 MAC 주소에 연결된 디바이스만 표시합니다.
멀티캐스트/브로드캐스트 필터를 편집하여 멀티캐스트 및 브로드캐스트 디바이스를 표시하거나 숨기려면 선택합니다. 기본적으로 멀티캐스트 및 브로드캐스트 트래픽은 숨겨집니다.
필터 추가(마지막으로 확인) 지난 5분에서 지난 7일까지 특정 기간에 표시된 디바이스를 기준으로 표시되는 디바이스를 필터링하려면 선택합니다.
필터 재설정 ‘마지막으로 확인’ 필터를 다시 설정하려면 선택합니다.
하이라이트 특정 디바이스 그룹의 디바이스를 강조 표시하려면 선택합니다. 강조 표시된 디바이스가 맵에 파란색으로 표시됩니다.

그룹 검색 상자를 사용하여 강조 표시할 디바이스 그룹을 검색하거나, 그룹 옵션을 확장한 다음, 강조 표시할 그룹을 선택합니다.
Filter 맵을 필터링하여 특정 디바이스 그룹의 디바이스만 표시하려면 선택합니다.

그룹 검색 상자를 사용하여 디바이스 그룹을 검색하거나, 그룹 옵션을 확장한 다음, 필터링 기준 그룹을 선택합니다.
확대/축소
/ 		마우스 또는 맵의 오른쪽에 있는 +/- 단추를 사용하여 맵을 확대한 후 각 디바이스 간 연결을 확인합니다.
화면에 맞추기
화면의 모든 디바이스에 맞게 축소
선택 영역에 맞춤
 화면에서 선택한 모든 디바이스에 충분히 맞도록 축소합니다.
IT/OT 프레젠테이션 옵션
맵에서 서브넷을 축소하는 기능을 방지하려면 IT 네트워크 그룹 표시 안 함을 선택합니다. 이 옵션은 기본적으로 선택되어 있습니다.
레이아웃 옵션
다음 중 하나를 선택합니다.
- 레이아웃 고정. 맵의 새 위치로 끌어온 경우 디바이스 위치를 저장하려면 선택합니다.
- 연결별 레이아웃. 연결별로 구성된 디바이스를 보려면 선택합니다.
- Purdue별 레이아웃. Purdue 계층별로 구성된 디바이스를 보려면 선택합니다.

디바이스 세부 정보를 보려면 디바이스를 선택하고 오른쪽의 디바이스 세부 정보 창을 확장합니다. 디바이스 세부 정보 창에서 다음을 수행합니다.

OT 센서 디바이스 맵에서 IT 서브넷 보기

기본적으로 IT 디바이스는 서브넷을 기준으로 자동으로 집계되므로 맵의 포커스는 OT 및 ICS 네트워크에 있습니다.

IT 서브넷을 확장하려면 다음을 수행합니다.

  1. OT 센서에 로그인하고 디바이스 맵을 선택합니다.

  2. 맵에서 서브넷을 찾습니다. 상자 내에 들어 있는 여러 컴퓨터처럼 보이는 서브넷 아이콘을 보려면 맵을 확대해야 할 수 있습니다. 예시:

    Screenshot of a subnet device on the device map.

  3. 맵에서 서브넷 디바이스를 마우스 오른쪽 단추로 클릭하고 네트워크 확장을 선택합니다.

  4. 맵 위에 표시되는 확인 메시지에서 확인을 선택합니다.

IT 서브넷을 축소하려면 다음을 수행합니다.

  1. OT 센서에 로그인하고 디바이스 맵을 선택합니다.
  2. 확장된 서브넷을 하나 이상 선택한 다음, 모두 축소를 선택합니다.

연결된 디바이스 간의 트래픽 세부 정보 보기

연결된 디바이스 간의 트래픽 세부 정보를 보려면 다음을 수행합니다.

  1. OT 센서에 로그인하고 디바이스 맵을 선택합니다.

  2. 맵에서 연결된 디바이스 두 개를 찾습니다. 모니터 모양의 디바이스 아이콘을 보려면 지도를 확대해야 할 수 있습니다.

  3. 지도에서 두 디바이스를 연결하는 줄을 클릭한 다음 오른쪽의 연결 속성 창을 확장합니다. 예시:

    Screenshot of connection properties on the device map.

  4. 연결 속성 창에서 다음과 같은 두 디바이스 간의 트래픽 세부 정보를 볼 수 있습니다.

    • 연결이 얼마나 오래 전에 처음 검색되었는지.
    • 각 디바이스의 IP 주소.
    • 각 디바이스의 상태.
    • 각 디바이스에 대한 경고 수.
    • 총 대역폭에 대한 차트.
    • 포트별 상위 트래픽에 대한 차트.

사용자 지정 디바이스 그룹 만들기

OT 센서의 기본 제공 디바이스 그룹 외에도 지도에서 디바이스를 강조 표시하거나 필터링할 때 필요에 따라 새 사용자 지정 그룹을 만듭니다.

  1. 도구 모음에서 + 사용자 지정 그룹 만들기를 선택하거나 맵에서 디바이스를 마우스 오른쪽 단추로 클릭한 다음, 사용자 지정 그룹에 추가를 선택합니다.

  2. 사용자 지정 그룹 추가 창에서 다음을 수행합니다.

    • 이름 필드에 그룹의 의미 있는 이름을 최대 30자로 입력합니다.
    • 그룹에서 복사 메뉴에서 디바이스를 복사할 그룹을 선택합니다.
    • 디바이스 메뉴에서 그룹에 추가할 추가 디바이스를 선택합니다.

디바이스 데이터 가져오기/내보내기

다음 옵션 중 하나를 사용하여 디바이스 데이터를 가져오고 내보냅니다.

  • 디바이스 가져오기. 미리 구성된 .CSV 파일에서 디바이스를 가져오려면 선택합니다.
  • 디바이스 내보내기. 전체 세부 정보와 함께 현재 표시된 모든 디바이스를 .CSV 파일로 내보내려면 선택합니다.
  • 디바이스 요약 내보내기. 현재 표시된 모든 디바이스에 대한 개략적인 요약을 .CSV 파일로 내보내려면 선택합니다.

디바이스 편집

  1. OT 센서에 로그인하고 디바이스 맵을 선택합니다.

  2. 디바이스를 마우스 오른쪽 단추로 클릭하여 디바이스 옵션 메뉴를 열고 다음 옵션 중에서 선택합니다.

    이름 설명
    속성 편집 권한 부여, 이름, 설명, OS 플랫폼, 디바이스 유형, Purdue 수준, 스캐너인지 아니면 프로그래밍 디바이스인지와 같은 디바이스 속성을 편집할 수 있는 편집 창을 엽니다.
    속성 보기 디바이스의 세부 정보 페이지를 엽니다.
    권한 부여/권한 없음 디바이스의 권한 부여 상태를 변경합니다.
    중요로 표시/중요하지 않은 것으로 표시 디바이스의 중요도를 변경하여 맵 및 OT 센서 보고서, Azure 디바이스 인벤토리를 비롯한 다른 위치에서 별표가 있는 중요 비즈니스용 서버를 강조 표시합니다.
    경고 표시 / 이벤트 표시 디바이스의 세부 정보 페이지에서 경고 또는 이벤트 타임라인 탭을 엽니다.
    활동 보고서 선택한 시간 범위의 디바이스에 대한 활동 보고서를 생성합니다.
    공격 벡터 시뮬레이션 선택한 디바이스에 대한 공격 벡터 시뮬레이션을 생성합니다.
    사용자 지정 그룹에 추가 선택한 디바이스를 사용하여 새 사용자 지정 그룹을 만듭니다.
    Delete 인벤토리에서 디바이스를 삭제합니다.

디바이스 병합

OT 센서가 고유한 디바이스와 연결된 여러 네트워크 엔터티(예: 4개의 네트워크 카드가 있는 PLC 또는 WiFi와 실제 네트워크 카드 모두 있는 단일 노트북)를 감지한 경우 디바이스를 병합할 수 있습니다.

인증된 디바이스만 병합할 수 있습니다.

Important

디바이스 병합을 취소할 수 없습니다. 실수로 두 디바이스를 병합한 경우 디바이스를 삭제하고 센서가 두 디바이스를 다시 검색할 때까지 기다립니다.

여러 디바이스를 병합하려면 다음을 수행합니다.

  1. OT 센서에 로그인하고 디바이스 맵을 선택합니다.

  2. Shift 키로 둘 이상의 디바이스를 선택하여 병합할 인증된 디바이스를 선택한 다음, 마우스 오른쪽 단추를 클릭하고 병합을 선택합니다.

  3. 프롬프트에서 확인을 선택하여 디바이스를 병합할지 확인합니다.

디바이스가 병합되고 오른쪽 위에 확인 메시지가 표시됩니다. 병합 이벤트는 OT 센서의 이벤트 타임라인 나열됩니다.

디바이스 알림 관리

네트워크에 위협이 될 수 있는 트래픽 변경 내용에 대한 세부 정보를 제공하는 경고와 달리, OT 센서 디바이스 맵의 디바이스 알림은 주의가 필요할 수는 있지만 위협이라고는 할 수 없는 네트워크 활동에 대한 세부 정보를 제공합니다.

예를 들어 다시 연결해야 하거나 더 이상 네트워크에 속하지 않는 경우 제거해야 하는 비활성 디바이스에 대한 알림을 받을 수 있습니다.

디바이스 알림을 보고 처리하려면 다음을 수행합니다.

  1. OT 센서에 로그인하고 디바이스 맵>알림을 선택합니다.

  2. 오른쪽의 검색 알림 창에서 필요에 따라 시간 범위, 디바이스, 서브넷 또는 운영 체제를 기준으로 알림을 필터링합니다.

    예시:

    Screenshot of device notifications on an OT sensor's Device map page.

  3. 각 알림에는 다른 완화 옵션이 있을 수 있습니다. 다음 중 하나를 수행합니다.

    • 한 번에 하나의 알림을 처리하거나, 특정 완화 작업을 선택하거나, 해제를 선택하여 활동 없이 알림을 닫습니다.
    • 모두 선택을 선택하여 함께 처리할 수 있는 알림을 표시합니다. 특정 알림에 대한 선택을 취소한 다음, 모두 수락 또는 모두 해제를 선택하여 선택한 나머지 알림을 함께 처리합니다.

참고 항목

선택한 알림은 14일 이내에 해제되거나 처리되지 않으면 자동으로 해결됩니다. 자세한 내용은 아래 표의 자동 해결 열에 표시된 작업을 참조하세요.

여러 알림을 함께 처리

다음과 같이 여러 알림을 함께 처리하려는 상황이 있을 수 있습니다.

  • IT 부서가 여러 네트워크 서버에서 OS를 업그레이드했으며 모든 새 서버 버전에 대해 알아보려고 합니다.

  • 디바이스 그룹은 더 이상 활성 상태가 아니며 OT 센서에서 디바이스를 제거하도록 OT 센서에 지시하려고 합니다.

여러 알림을 함께 처리하는 경우 새 IP 주소 또는 검색된 서브넷이 없는 경우와 같이 수동으로 처리해야 하는 나머지 알림이 계속 있을 수 있습니다.

디바이스 알림 응답

다음 표에는 각 알림에 사용 가능한 응답과 각 알림을 사용하는 것이 좋은 경우가 나와 있습니다.

Type 설명 사용 가능한 응답 자동 해결
새 IP가 검색됨 새 IP 주소가 디바이스와 연결됩니다. 이 문제는 다음과 같은 시나리오에서 발생할 수 있습니다.

- 새 IP 또는 추가 IP 주소가 이미 검색된 디바이스, 기존 MAC 주소와 연결되어 있습니다.

- NetBIOS 이름을 사용하는 디바이스에 대한 새 IP 주소가 검색되었습니다.

- IP 주소가 MAC 주소와 연결된 디바이스에 대한 관리 인터페이스로 검색되었습니다.

- 가상 IP 주소를 사용하는 디바이스에 대한 새 IP 주소가 검색되었습니다.		 - 디바이스에 추가 IP 설정: 디바이스를 병합합니다.
- 기존 IP 바꾸기: 기존 IP 주소를 새 주소로 바꿉니다.
- 해제: 알림을 제거합니다.		 해제
구성된 서브넷 없음 현재 네트워크에 구성된 서브넷이 없습니다.

맵에서 OT와 IT 디바이스를 구분하도록 서브넷을 구성하는 것이 좋습니다.		 - 서브넷 구성을 열고서브넷을 구성합니다.
- 해제: 알림을 제거합니다.		 해제
운영 체제 변경 내용 하나 이상의 새 운영 체제가 디바이스와 연결되어 있습니다. 디바이스와 연결할 새 OS의 이름을 선택합니다.
- 해제: 알림을 제거합니다.		 아직 수동으로 구성되지 않은 경우에만 새 운영 체제로 설정합니다.

운영 체제가 이미 구성된 경우 해제합니다.
새 서브넷 새 서브넷이 검색되었습니다. - 학습: 서브넷을 자동으로 추가합니다.
- 서브넷 구성 열기: 누락된 서브넷 정보를 모두 추가합니다.
- 해제:
알림을 제거합니다.		 해제

특정 영역에 대한 디바이스 맵 보기

사이트 및 영역이 구성된 온-프레미스 관리 콘솔로 작업하는 경우 각 영역에 대해 디바이스 맵도 사용할 수 있습니다.

온-프레미스 관리 콘솔에서 영역 맵은 OT 센서, 검색된 디바이스 등을 포함하여 선택한 영역과 관련된 모든 네트워크 요소를 표시합니다.

영역 맵을 보려면 다음을 수행합니다.

  1. 온-프레미스 관리 콘솔에 로그인하고 보려는 영역에 대해 사이트 관리>영역 맵 보기를 선택합니다. 예시:

    Screenshot of default region to default business unit.

  2. 다음 맵 도구를 사용하여 맵 표시를 변경합니다.

    이름 설명
    현재 정렬 저장

    		맵 디스플레이에서 변경한 내용을 저장합니다.
    멀티캐스트/브로드캐스트 주소 숨기기

    		 기본적으로 선택됩니다. 맵에 멀티캐스트 및 브로드캐스트 디바이스를 표시하려면 선택합니다.
    Purdue 선 표시

    		기본적으로 선택됩니다. 맵에서 Purdue 선을 숨기려면 선택합니다.
    다시 레이아웃

    		Purdue 선 또는 영역별로 레이아웃을 다시 구성하려면 선택합니다.
    화면에 맞게 스케일링

    		전체 맵이 화면에 맞도록 맵을 확대하거나 축소합니다.
    IP/MAC 기준으로 검색 특정 IP 또는 MAC 주소를 선택하여 맵에서 디바이스를 강조 표시합니다.
    다른 영역 맵으로 변경

    		다른 영역 맵을 선택하여 볼 수 있는 영역 맵 변경 대화 상자를 열려면 선택합니다.
    확대/축소

    /     		마우스 또는 맵의 오른쪽에 있는 +/- 단추를 사용하여 맵을 확대한 후 각 디바이스 간 연결을 확인합니다.

  3. 서브넷에 그룹화된 디바이스 수를 보는 경우와 같이 디바이스별 세부 정보를 보거나 서브넷을 확장하려면 확대합니다.

  4. 디바이스를 마우스 오른쪽 단추로 클릭하고 속성 보기를 선택하여 디바이스에 대한 자세한 정보를 제공하는 디바이스 속성 대화 상자를 엽니다.

  5. 빨간색으로 표시된 디바이스를 마우스 오른쪽 단추로 클릭하고 경고 보기를 선택하여 선택한 디바이스에 대해서만 경고가 필터링된 경고 페이지로 이동합니다.

기본 제공 디바이스 맵 그룹

다음 표에서는 OT 센서 디바이스 맵 페이지에서 기본적으로 사용할 수 있는 디바이스 그룹을 나열합니다. 조직에 필요한 추가 사용자 지정 그룹을 만듭니다.

그룹 이름 설명
공격 벡터 시뮬레이션 공격 벡터 보고서에서 감지된 취약한 디바이스. 여기서는 디바이스 맵에 표시 옵션이 켜져 있습니다.
Authorization 초기 학습 기간 동안 검색되었거나 나중에 수동으로 ‘인증된’ 디바이스로 표시된 디바이스입니다.
서브넷 간 연결 한 서브넷에서 다른 서브넷으로 통신하는 디바이스입니다.
디바이스 인벤토리 필터 OT 센서의 디바이스 인벤토리 페이지에서 만든 필터를 기준으로 하는 모든 디바이스입니다.
알려진 애플리케이션 TCP와 같이 예약된 포트를 사용하는 디바이스입니다.
마지막 활동 마지막으로 활성 상태였던 시간 프레임을 기준으로 그룹화된 디바이스입니다(예: 1시간, 6시간, 1일 또는 7일).
비표준 포트 비표준 포트 또는 별칭이 할당되지 않은 포트를 사용하는 디바이스.
Active Directory에 없음 Active Directory와 통신하지 않는 모든 비 PLC 디바이스.
OT 프로토콜 알려진 OT 트래픽을 처리하는 디바이스입니다.
폴링 간격 폴링 간격을 기준으로 그룹화된 디바이스입니다. 폴링 간격은 순환 채널 또는 기간에 따라 자동으로 생성됩니다. 예를 들어 15.0초, 3.0초, 1.5초 또는 어떤 간격도 될 수 있습니다. 이 정보를 검토하면 시스템이 너무 빠르게 폴링하는지 느리게 폴링하는지 알 수 있습니다.
프로그래밍 엔지니어링 스테이션 및 프로그래밍 컴퓨터입니다.
서브넷 특정 서브넷에 속하는 디바이스입니다.
VLAN 특정 VLAN ID와 연결된 디바이스입니다.

다음 단계

자세한 내용은 디바이스 인벤토리에서 센서 검색 조사를 참조하세요.