자습서: 가상 OT 센서 온보딩 및 활성화

이 자습서에서는 Microsoft Defender for IoT의 평가판 구독을 사용하여 VM(가상 머신)에서 클라우드에 연결된 가상 센서를 통해 OT 시스템 보안 모니터링을 위한 네트워크를 설정하는 방법을 설명합니다.

참고

엔터프라이즈 IoT 시스템에 대한 보안 모니터링을 설정하려는 경우 엔드포인트용 Defender에서 엔터프라이즈 IoT 보안 사용엔터프라이즈 IoT 네트워크 센서를 사용하여 IoT 보안 모니터링 향상(공개 미리 보기)을 참조하세요.

이 자습서에서는 다음 작업 방법을 알아봅니다.

  • 가상 센서용 소프트웨어 다운로드
  • 센서용 VM 만들기
  • 가상 센서 소프트웨어 설치
  • SPAN 포트 구성
  • 클라우드 연결 확인
  • 가상 센서 온보딩 및 활성화

전제 조건

시작하기 전에 다음 항목이 있는지 확인하십시오.

  • Defender for IoT에 Azure 구독이 추가되도록 빠른 시작: Defender for IoT 시작을 완료해야 합니다.

  • 구독에 대한 보안 관리자, 구독 기여자 또는 구독 소유자의 Azure 권한

  • 스위치의 SPAN 포트에 연결되어 있는 하나 이상의 모니터링할 디바이스

  • 센서에서 VMware, ESXi 5.5 이상 설치 및 작동

  • 다음과 같이 VM에 사용할 수 있는 하드웨어 리소스:

    배포 유형 회사 Enterprise SMB
    최대 대역폭 2.5Gb/초 800Mb/초 160Mb/초
    최대 보호 디바이스 12,000 10000 800
  • 센서 어플라이언스용으로 사용할 다음 네트워크 매개 변수에 대한 세부 정보:

    • 관리 네트워크 IP 주소
    • 센서 서브넷 마스크
    • 어플라이언스 호스트 이름
    • DNS 주소
    • 기본 게이트웨이
    • 입력 인터페이스

가상 센서용 소프트웨어 다운로드

Defender for IoT의 OT 보안 솔루션에는 Defender for IoT에 연결하고 분석을 위해 디바이스 데이터를 보내는 온-프레미스 네트워크 센서가 포함됩니다.

미리 구성된 어플라이언스를 구입하거나 자체 어플라이언스를 가져와 소프트웨어를 직접 설치할 수 있습니다. 이 자습서에서는 사용자 고유의 컴퓨터 및 VMware를 사용하고 센서 소프트웨어를 직접 다운로드하고 설치하는 방법을 설명합니다.

가상 센서용 소프트웨어를 다운로드하려면

  1. Azure Portal에서 Defender for IoT로 이동합니다. 시작 페이지에서 센서 탭을 선택합니다.

  2. 어플라이언스 구매 및 소프트웨어 설치 상자에서 최신 및 권장 소프트웨어 버전에 대한 기본 옵션이 선택되어 있는지 확인하고 다운로드를 선택합니다.

  3. 다운로드한 소프트웨어를 VM에서 액세스할 수 있는 위치에 저장합니다.

Azure Portal에서 다운로드한 모든 파일은 신뢰할 수 있는 루트에서 서명하므로 컴퓨터는 서명된 자산만 사용합니다.

센서에 대한 VM 만들기

이 절차에서는 VMware ESXi를 사용하여 센서용 VM을 만드는 방법을 설명합니다.

Defender for IoT는 Hyper-V 또는 물리적 센서 사용과 같은 다른 프로세스도 지원합니다. 자세한 내용은 Defender for IoT 설치를 참조하세요.

센서에 대한 VM을 만들려면 다음을 수행합니다.

  1. 센서 소프트웨어를 다운로드하고 액세스할 수 있는지, 그리고 VMware가 컴퓨터에서 실행 중인지 확인합니다.

  2. ESXi에 로그인하고, 관련 데이터 저장소를 선택하고, 데이터 저장소 브라우저를 선택합니다.

  3. 이미지를 업로드하고 닫기를 선택합니다.

  4. 가상 머신으로 이동한 다음 VM 만들기/등록을 선택합니다.

  5. 새 가상 머신 만들기를 선택하고 다음을 선택합니다.

  6. 센서 이름을 추가하고 다음 옵션을 정의합니다.

    • 호환성: <최신 ESXi 버전>

    • 게스트 OS 제품군: Linux

    • 게스트 OS 버전: Ubuntu Linux(64비트)

  7. 다음을 선택합니다.

  8. 관련 데이터 저장소를 선택하고 다음을 선택합니다.

  9. 필요에 따라 필요한 사양에 따라 가상 하드웨어 매개 변수를 변경합니다. 자세한 내용은 위 섹션에서 필수 조건의 표를 참조하세요.

  10. CD/DVD 드라이브 1의 경우 Datastore ISO 파일을 선택하고 이전에 다운로드한 Defender for IoT 소프트웨어를 선택합니다.

  11. 다음>마침을 선택합니다.

  12. VM의 전원을 켜고 콘솔을 엽니다.

센서 소프트웨어 설치

이 절차에서는 VM에 센서 소프트웨어를 설치하는 방법을 설명합니다.

소프트웨어를 가상 센서에 설치하려면,

  1. VM 콘솔을 엽니다.

  2. ISO 이미지에서 VM이 시작되고 언어 선택 화면이 표시됩니다. 영어를 선택합니다.

  3. 위의 필수 구성 요소 섹션의 표에 정의된 대로 요구 사항에 필요한 사양을 선택합니다.

  4. 다음과 같이 어플라이언스 프로필 및 네트워크 속성을 정의합니다.

    매개 변수 구성
    하드웨어 프로필 시스템 사양에 따라 다릅니다.
    관리 인터페이스 ens192
    네트워크 매개 변수(고객이 제공) 관리 네트워크 IP 주소:
    서브넷 마스크:
    어플라이언스 호스트 이름:
    DNS:
    기본 게이트웨이:
    입력 인터페이스:

    특수 사용 사례에만 관련된 브리지 인터페이스를 구성할 필요가 없습니다.

  5. 설정을 적용하려면 Y를 입력합니다.

  6. 다음 자격 증명은 자동으로 생성되고 표시됩니다. 사용자 이름 및 암호는 로그인하고 센서를 관리하는 데 필요하므로 안전한 곳에 복사합니다. 사용자 이름 및 암호는 다시 표시되지 않습니다.

    • 지원: 사용자 관리를 위한 관리자입니다.

    • CyberX: 어플라이언스에 액세스하기 위한 루트와 동일합니다.

  7. 어플라이언스가 다시 시작되면 이전에 구성한 IP 주소(https://<ip_address>)를 통해 센서에 액세스합니다.

설치 후 유효성 검사

이 절차에서는 센서의 자체 시스템 상태 검사를 사용하여 설치의 유효성을 검사하는 방법을 설명하며 지원CyberX 센서 사용자가 모두 사용할 수 있습니다.

설치 유효성을 검사하려면

  1. 센서에 로그인합니다.

  2. 시스템 설정>센서 관리>시스템 상태 검사를 선택합니다.

  3. 다음 명령을 선택합니다.

    • Appliance: 시스템이 실행 중인지 확인합니다. 각 줄 항목에 실행 중이 표시되고 마지막 줄에 시스템이 작동 중이라 표시되는지 확인합니다.
    • Version: 올바른 버전이 설치되었는지 확인합니다.
    • ifconfig: 설치 프로세스 중에 모든 입력 인터페이스가 구성되었는지 확인합니다.

SPAN 포트 구성

가상 스위치에는 미러링 기능이 없습니다. 그러나 이 자습서에서는 가상 스위치 환경에서 무차별 모드를 사용하여 가상 스위치를 통과하는 모든 네트워크 트래픽을 볼 수 있습니다.

이 절차에서는 VMware ESXi에 해결 방법을 사용하여 SPAN 포트를 구성하는 방법을 설명합니다.

참고

무차별 모드는 스위치의 네트워크 트래픽을 보기 위해 가상 스위치와 동일한 포트 그룹 수준의 VM 인터페이스에 대한 운영 모드 및 보안 모니터링 기술입니다. 무차별 모드는 기본적으로 사용하지 않도록 설정되지만 가상 스위치 또는 포트 그룹 수준에서 정의할 수 있습니다.

ESXi를 사용하여 SPAN 포트를 구성하려면,

  1. vSwitch 속성을 엽니다.

  2. 추가를 선택합니다.

  3. 가상 머신>다음을 선택합니다.

  4. 네트워크 레이블 SPAN 네트워크를 삽입하고 VLAN ID>모두를 선택한 후 다음을 선택합니다.

  5. 마침을 선택합니다.

  6. SPAN 네트워크> *편집을 선택합니다.

  7. 보안을 선택하고 무차별 모드 정책이 수락 모드로 설정되어 있는지 확인합니다.

  8. 확인을 선택하고 닫기를 선택하여 vSwitch 속성을 닫습니다.

  9. Xsense VM 속성을 엽니다.

  10. 네트워크 어댑터 2의 경우 SPAN 네트워크를 선택합니다.

  11. 확인을 선택합니다.

  12. 센서에 연결하고 미러링이 작동하는지 확인합니다.

가상 센서 온보딩 및 활성화

Defender for IoT 센서 사용을 시작하려면 먼저 새 가상 센서를 Azure 구독에 온보딩하고 센서를 활성화하기 위한 가상 센서의 활성화 파일을 다운로드해야 합니다.

가상 센서 온보딩

가상 센서를 온보딩하려면,

  1. Azure Portal의 Defender for IoT> 시작 페이지로 이동합니다.

  2. 왼쪽 아래에서 OT/ICS 보안 설정을 선택합니다.

    OT 네트워크 센서용 시작 페이지의 스크린샷

    이 자습서의 앞부분에서 이러한 작업을 완료했으므로 OT/ICS 보안 설정 페이지에서 1단계: 센서를 설정했나요?2단계: SPAN 포트 또는 TAP 단계 구성이 축소되었습니다.

  3. 3단계: 이 센서를 Microsoft Defender for IoT에 등록하고 다음 값을 정의합니다.

    Name Description
    센서 이름 센서의 이름을 입력합니다.

    센서의 IP 주소를 이름의 일부로 포함하거나 쉽게 식별할 수 있는 이름을 사용하는 것이 좋습니다. 센서 이름을 이 방식으로 지정하면 더 쉽게 추적할 수 있습니다.
    구독 센서를 추가할 Azure 구독을 선택합니다.
    연결된 클라우드 센서를 Azure에 연결하도록 선택합니다.
    자동 위협 인텔리전스 업데이트 클라우드 연결 옵션이 켜진 경우에만 표시됩니다. 센서에서 Microsoft 위협 인텔리전스 패키지를 자동으로 업데이트하도록 선택합니다. 자세한 정보는 위협 인텔리전스 연구 및 패키지 #를 참조하세요.
    센서 버전 클라우드 연결 옵션이 켜진 경우에만 표시됩니다. 센서에 설치된 소프트웨어 버전을 선택합니다.
    사이트 센서를 연결할 사이트를 정의하거나 사이트 만들기를 선택하여 새 사이트를 만듭니다. 사이트의 표시 이름과 나중에 사이트를 식별하는 데 도움이 되는 선택적 태그를 정의합니다.
    영역 센서를 배포할 영역을 정의하거나 영역 만들기를 선택하여 새 영역을 만듭니다.
  4. 등록을 선택하여 Defender for IoT에 센서를 추가합니다. 성공 메시지가 표시되고 활성화 파일이 자동으로 다운로드됩니다. 활성화 파일은 센서에 대해 고유하며 센서의 관리 모드에 대한 지침을 포함합니다.

    Azure Portal에서 다운로드한 모든 파일은 신뢰할 수 있는 루트에서 서명하므로 컴퓨터는 서명된 자산만 사용합니다.

  5. 사용자가 처음으로 콘솔에 로그인할 수 있는 위치에 다운로드한 활성화 파일을 저장합니다.

    센서 활성화 상자에서 관련 링크를 선택하여 파일을 수동으로 다운로드 할 수도 있습니다 . 아래 설명된 대로 이 파일을 사용하여 센서를 활성화합니다.

  6. 새 센서가 Azure에 성공적으로 연결할 수 있는지 확인합니다. 아웃바운드 허용 규칙 추가 상자에서 엔드포인트 세부 정보 다운로드 링크를 선택하여 센서에서 보안 엔드포인트로 구성해야 하는 엔드포인트의 JSON 목록을 다운로드합니다. 예를 들면 다음과 같습니다.

    **아웃바운드 허용 규칙 추가** 상자의 스크린샷

    센서가 Azure에 연결할 수 있도록 포트 443을 통해 허용된 아웃바운드 HTTPS 트래픽으로 나열된 엔드포인트를 구성합니다. 동일한 구독에 온보딩된 모든 OT 센서에 대해 이러한 아웃바운드 허용 규칙을 한 번 구성해야 합니다.

    사이트 및 센서 페이지에서 필요한 엔드포인트 목록에 액세스할 수도 있습니다. 자세한 내용은 Azure Portal에서 센서 관리 옵션을 참조하세요.

  7. 페이지 왼쪽 아래에서 마침을 선택합니다. 이제 Defender for IoT 사이트 및 센서 페이지에 나열된 새 센서를 볼 수 있습니다.

자세한 정보는 Azure Portal Defender for IoT로 센서 관리를 참조하세요.

센서 활성화

이 절차에서는 Azure Portal Defender for IoT에서 다운로드한 센서 활성화 파일을 사용하여 새로 추가된 센서를 활성화하는 방법을 설명합니다.

센서를 활성화하려면

  1. 설치 중에 정의한 IP를 사용하여 브라우저에서 센서 콘솔로 이동합니다. 로그인 대화 상자가 열립니다.

    Defender for IoT 센서 로그인 페이지의 스크린샷

  2. 센서 설치 중에 정의한 자격 증명을 입력합니다.

  3. 로그인/다음을 선택합니다. 센서 네트워크 설정 탭이 열립니다.

    센서에 로그인할 때 센서 네트워크 설정 옵션의 스크린샷

  4. 센서 네트워크 설정 탭에서 설치 중에 정의된 센서 네트워크 구성을 수정할 수 있습니다. 이 자습서에서는 기본값을 그대로 두고 다음을 선택합니다.

  5. 활성화 탭에서 업로드를 선택한 다음, 활성화 파일을 찾아서 선택합니다.

  6. 사용 약관에 동의하고 활성화를 선택합니다.

  7. SSL/TLS 인증서 탭에서 프로덕션 환경에 권장되는 프로세스인 신뢰할 수 있는 CA 인증서를 가져올 수 있습니다. 그러나 이 자습서에서는 로컬로 생성된 자체 서명된 인증서 사용을 선택한 다음, 마침을 선택할 수 있습니다.

센서가 활성화되고 Defender for IoT에 온보딩됩니다. 사이트 및 센서 페이지에서 센서 상태 열에 녹색 확인 표시가 표시되고 상태를 확인으로 나열하는 것을 볼 수 있습니다.

다음 단계

OT 센서가 연결되면 다음 중 한 가지 작업을 계속하여 데이터 분석을 시작합니다.