자습서: 가상 OT 센서 온보딩 및 활성화

  • 아티클

이 자습서에서는 Microsoft Defender for IoT 및 사용자 고유의 가상 머신 평가판 구독을 사용하여 Microsoft Defender for IoT OT 센서를 설정하는 기본 사항을 설명합니다.

전체 엔드투엔드 배포의 경우 시스템을 계획하고 준비하는 단계를 수행한 다음, 설정을 완전히 보정하고 미세 조정해야 합니다. 자세한 내용은 Defender for IoT OT 모니터링 배포를 참조하세요.

참고 항목

엔터프라이즈 IoT 시스템에 대한 보안 모니터링을 설정하려는 경우 엔드포인트용 Defender에서 Enterprise IoT 보안 사용을 참조하세요.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • 센서용 VM 만들기
  • 가상 센서 온보딩
  • 가상 SPAN 포트 구성
  • 클라우드 관리를 위한 프로비전
  • 가상 센서용 소프트웨어 다운로드
  • 가상 센서 소프트웨어 설치
  • 가상 센서 활성화

필수 조건

시작하기 전에 다음 항목이 있는지 확인하십시오.

  • Defender for IoT에 Azure 구독이 추가되도록 빠른 시작: Defender for IoT 시작을 완료해야 합니다.

  • Azure Portal에 보안 관리자, 기여자 또는 소유자로 액세스할 권한이 있습니다. 자세한 내용은 Defender for IoT를 사용하여 OT 및 Enterprise IoT 모니터링에 대한 Azure 사용자 역할을 참조하세요.

  • SPAN 포트를 통한 트래픽 모니터링을 지원하는 네트워크 스위치가 있는지 확인합니다. 또한 스위치의 SPAN 포트에 연결된 하나 이상의 디바이스를 모니터링해야 합니다.

  • 센서에서 VMware, ESXi 5.5 이상 설치 및 작동

  • 다음과 같이 VM에 사용할 수 있는 하드웨어 리소스:

    배포 유형 회사 Enterprise SMB
    최대 대역폭 2.5Gb/초 800Mb/초 160Mb/초
    최대 보호 디바이스 12,000 10,000 800

  • 가상 어플라이언스를 사용하는 OT 모니터링에 대한 이해

  • 센서 어플라이언스용으로 사용할 다음 네트워크 매개 변수에 대한 세부 정보:

    • 관리 네트워크 IP 주소
    • 센서 서브넷 마스크
    • 어플라이언스 호스트 이름
    • DNS 주소
    • 기본 게이트웨이
    • 입력 인터페이스

센서에 대한 VM 만들기

이 절차에서는 VMware ESXi를 사용하여 센서용 VM을 만드는 방법을 설명합니다.

Defender for IoT는 Hyper-V 또는 물리적 센서 사용과 같은 다른 프로세스도 지원합니다. 자세한 내용은 Defender for IoT 설치를 참조하세요.

센서에 대한 VM을 만들려면 다음을 수행합니다.

  1. VMware가 컴퓨터에서 실행되고 있는지 확인합니다.

  2. ESXi에 로그인하고, 관련 데이터 저장소를 선택하고, 데이터 저장소 브라우저를 선택합니다.

  3. 이미지를 업로드하고 닫기를 선택합니다.

  4. 가상 머신으로 이동한 다음 VM 만들기/등록을 선택합니다.

  5. 새 가상 머신 만들기를 선택하고 다음을 선택합니다.

  6. 센서 이름을 추가하고 다음 옵션을 정의합니다.

    • 호환성: <최신 ESXi 버전>

    • 게스트 OS 제품군: Linux

    • 게스트 OS 버전: Ubuntu Linux(64비트)

  7. 다음을 선택합니다.

  8. 관련 데이터 저장소를 선택하고 다음을 선택합니다.

  9. 필요에 따라 필요한 사양에 따라 가상 하드웨어 매개 변수를 변경합니다. 자세한 내용은 위 섹션에서 필수 조건의 표를 참조하세요.

이제 VM에 Defender for IoT 소프트웨어 설치할 준비가 되었습니다. Azure Portal에서 센서를 온보딩하고, 트래픽 미러링을 구성하고, 클라우드 관리를 위해 머신을 프로비전한 후 이 자습서의 뒷부분에서 소프트웨어를 설치하여 계속 진행합니다.

가상 센서 온보딩

Defender for IoT 센서 사용을 시작하려면 먼저 새 가상 센서를 Azure 구독에 온보딩해야 합니다.

가상 센서를 온보딩하려면,

  1. Azure Portal의 Defender for IoT> 시작 페이지로 이동합니다.

  2. 왼쪽 아래에서 OT/ICS 보안 설정을 선택합니다.

    또는 Defender for IoT의 사이트 및 센서 페이지에서 OT 센서 온보딩>OT를 선택합니다.

    기본적으로 OT/ICS 보안 설정 페이지에서 1단계: 센서를 설정하셨나요?2단계: SPAN 포트 또는 TAP 구성 마법사가 축소되어 있습니다.

    나중에 배포 프로세스를 통해 트래픽 미러링 소프트웨어를 설치하고 구성할 예정이지만, 어플라이언스를 준비하고 트래픽 미러링 방법을 계획해 두어야 합니다.

  3. 3단계: 이 센서를 Microsoft Defender for IoT에 등록하고 다음 값을 정의합니다.

    필드 이름 설명
    리소스 이름 센서를 연결할 사이트를 선택하거나 사이트 만들기를 선택하여 새 사이트를 만듭니다.

    새 사이트를 만드는 경우:
    1. 새 사이트 필드에 사이트 이름을 입력하고 확인 표시 단추를 선택합니다.
    2. 사이트 크기 메뉴에서 사이트의 크기를 선택합니다. 이 메뉴에 나와 있는 크기는 Microsoft 365 관리 센터에서 구입한 라이선스에 따라 라이선스가 부여된 크기입니다.
    표시 이름 Defender for IoT에 표시할 식별 가능한 사이트 이름을 입력합니다.
    태그 태그 키를 입력하여 Azure Portal에서 사이트 및 센서를 식별하고 찾을 수 있습니다.
    영역 필드에서 OT 센서에 사용할 영역을 선택하거나 영역 만들기를 선택하여 새 영역을 만듭니다.

    자세한 내용은 OT 사이트 및 영역 계획을 참조하세요.

  4. 다른 모든 필드를 완료했으면 등록을 선택하여 Defender for IoT에 센서를 추가합니다. 성공 메시지가 표시되고 활성화 파일이 자동으로 다운로드됩니다. 활성화 파일은 센서에 대해 고유하며 센서의 관리 모드에 대한 지침을 포함합니다.

    Azure Portal에서 다운로드한 모든 파일은 신뢰할 수 있는 루트에서 서명하므로 컴퓨터는 서명된 자산만 사용합니다.

  5. 센서를 활성화할 수 있도록 사용자가 처음으로 콘솔에 로그인할 수 있는 위치에 다운로드한 활성화 파일을 저장합니다.

    센서 활성화 상자에서 관련 링크를 선택하여 파일을 수동으로 다운로드할 수도 있습니다. 아래 설명된 대로 이 파일을 사용하여 센서를 활성화합니다.

  6. 아웃바운드 허용 규칙 추가 상자에서 엔드포인트 세부 정보 다운로드 링크를 선택하여 센서에서 보안 엔드포인트로 구성해야 하는 엔드포인트의 JSON 목록을 다운로드합니다.

    다운로드한 파일을 로컬에서 저장합니다. 다운로드한 파일에 나와 있는 엔드포인트를 사용하여 이 자습서의 뒷부분에서 새 센서를 Azure에 연결할 수 있는지 확인합니다.

    사이트 및 센서 페이지에서 필요한 엔드포인트 목록에 액세스할 수도 있습니다. 자세한 내용은 Azure Portal에서 센서 관리 옵션을 참조하세요.

  7. 페이지 왼쪽 아래에서 마침을 선택합니다. 이제 Defender for IoT 사이트 및 센서 페이지에 나열된 새 센서를 볼 수 있습니다.

    센서를 활성화할 때까지 센서 상태는 활성화 보류 중으로 표시됩니다.

자세한 정보는 Azure Portal Defender for IoT로 센서 관리를 참조하세요.

SPAN 포트 구성

가상 스위치에는 미러링 기능이 없습니다. 그러나 이 자습서에서는 가상 스위치 환경에서 무차별 모드를 사용하여 가상 스위치를 통과하는 모든 네트워크 트래픽을 볼 수 있습니다.

이 절차에서는 VMware ESXi에 해결 방법을 사용하여 SPAN 포트를 구성하는 방법을 설명합니다.

참고 항목

무차별 모드는 스위치의 네트워크 트래픽을 보기 위해 가상 스위치와 동일한 포트 그룹 수준의 VM 인터페이스에 대한 운영 모드 및 보안 모니터링 기술입니다. 무차별 모드는 기본적으로 사용하지 않도록 설정되지만 가상 스위치 또는 포트 그룹 수준에서 정의할 수 있습니다.

ESXi v-Switch에서 무차별 모드로 모니터링 인터페이스를 구성하려면:

  1. vSwitch 속성 페이지를 열고 표준 가상 스위치 추가를 선택합니다.

  2. 네트워크 레이블로 SPAN Network를 입력합니다.

  3. MTU 필드에 4096을 입력합니다.

  4. 보안을 선택하고 무차별 모드 정책이 수락 모드로 설정되어 있는지 확인합니다.

  5. 추가를 선택하여 vSwitch 속성을 닫습니다.

  6. 만든 vSwitch를 강조 표시하고 업링크 추가를 선택합니다.

  7. SPAN 트래픽에 사용할 실제 NIC를 선택하고 MTU를 4096으로 변경한 다음, 저장을 선택합니다.

  8. 포트 그룹 속성 페이지를 열고 포트 그룹 추가를 선택합니다.

  9. 이름으로 SPAN 포트 그룹을 입력하고, VLAN ID로 4095를 입력하고, vSwitch 드롭다운에서 SPAN 네트워크를 선택한 다음, 추가를 선택합니다.

  10. OT 센서 VM 속성을 엽니다.

  11. 네트워크 어댑터 2의 경우 SPAN 네트워크를 선택합니다.

  12. 확인을 선택합니다.

  13. 센서에 연결하고 미러링이 작동하는지 확인합니다.

트래픽 미러링 유효성 검사

트래픽 미러링을 구성한 후 스위치 SPAN 또는 미러 포트에서 기록된 트래픽 샘플(PCAP 파일)을 수신해 봅니다.

샘플 PCAP 파일은 다음을 수행하는 데 도움이 됩니다.

  • 스위치 구성의 유효성 검사
  • 스위치를 통과하는 트래픽이 모니터링과 관련 있는지 확인
  • 스위치에서 검색된 대역폭 및 예상 디바이스 수 식별

  1. Wireshark 같은 네트워크 프로토콜 분석기 애플리케이션을 사용하여 몇 분 동안 샘플 PCAP 파일을 기록합니다. 예를 들어 트래픽 모니터링을 구성한 포트에 노트북을 연결합니다.

  2. 유니캐스트 패킷이 기록 트래픽에 있는지 확인합니다. 유니캐스트 트래픽은 주소에서 다른 주소로 전송되는 트래픽입니다.

    대부분의 트래픽이 ARP 메시지인 경우 트래픽 미러링 구성이 올바르지 않습니다.

  3. OT 프로토콜이 분석된 트래픽에 있는지 확인합니다.

    예시:

    Screenshot of Wireshark validation.

클라우드 관리를 위한 프로비전

이 섹션에서는 OT 센서를 Azure에 연결할 수 있도록 방화벽 규칙에서 정의할 엔드포인트를 구성하는 방법을 설명합니다.

자세한 내용은 센서를 Azure에 연결하는 방법을 참조하세요.

엔드포인트 세부 정보를 구성하려면 다음을 수행합니다.

이전에 다운로드한 파일을 열어 필요한 엔드포인트 목록을 봅니다. 센서가 포트 443을 통해 필요한 각 엔드포인트에 액세스할 수 있도록 방화벽 규칙을 구성합니다.

Azure Portal의 사이트 및 센서 페이지에서 필요한 엔드포인트 목록을 다운로드할 수도 있습니다. 사이트 및 센서>추가 작업>엔드포인트 세부 정보 다운로드로 이동합니다. 자세한 내용은 Azure Portal에서 센서 관리 옵션을 참조하세요.

자세한 내용은 클라우드 관리를 위한 센서 프로비전을 참조하세요.

가상 센서용 소프트웨어 다운로드

이 섹션에서는 사용저의 컴퓨터에 센서 소프트웨어를 다운로드하고 설치하는 방법을 설명합니다.

가상 센서용 소프트웨어를 다운로드하려면

  1. Azure Portal의 Defender for IoT> 시작 페이지로 이동하여 센서 탭을 선택합니다.

  2. 어플라이언스 구매 및 소프트웨어 설치 상자에서 최신 및 권장 소프트웨어 버전에 대한 기본 옵션이 선택되어 있는지 확인하고 다운로드를 선택합니다.

  3. 다운로드한 소프트웨어를 VM에서 액세스할 수 있는 위치에 저장합니다.

Azure Portal에서 다운로드한 모든 파일은 신뢰할 수 있는 루트에서 서명하므로 컴퓨터는 서명된 자산만 사용합니다.

센서 소프트웨어 설치

이 절차에서는 VM에 센서 소프트웨어를 설치하는 방법을 설명합니다.

참고 항목

이 프로세스가 끝나면 디바이스의 사용자 이름과 암호가 표시됩니다. 이 암호는 다시 표시되지 않으므로 복사해 두세요.

소프트웨어를 가상 센서에 설치하려면,

  1. VM을 닫은 경우 ESXi에 다시 로그인하고 VM 설정을 엽니다.

  2. CD/DVD 드라이브 1의 경우 Datastore ISO 파일을 선택하고 이전에 다운로드한 Defender for IoT 소프트웨어를 선택합니다.

  3. 다음>마침을 선택합니다.

  4. VM의 전원을 켜고 콘솔을 엽니다.

  5. 설치가 부팅되면 설치 프로세스를 시작하라는 메시지가 표시됩니다. iot-sensor-<version number> 설치 항목을 선택하여 계속하거나 30초 후에 자동으로 시작하도록 합니다. 예시:

    Screenshot of the initial installation screen.

    참고 항목

    레거시 BIOS 버전을 사용하는 경우 언어를 선택하라는 메시지가 표시되고 설치 옵션이 가운데가 아닌 왼쪽 위에 표시됩니다. 메시지가 표시되면 English를 선택한 다음, iot-sensor-<version number> 설치 옵션을 선택하여 계속합니다.

    설치가 시작되고 업데이트된 상태 메시지가 표시됩니다. 전체 설치 프로세스는 최대 20~30분이 소요되며 사용 중인 미디어 유형에 따라 달라질 수 있습니다.

    설치가 완료되면 다음과 같은 기본 네트워킹 세부 정보가 표시됩니다.

    IP: 172.23.41.83,
SUBNET: 255.255.255.0,
GATEWAY: 172.23.41.1,
UID: 91F14D56-C1E4-966F-726F-006A527C61D

제공된 기본 IP 주소를 사용하여 초기 설정 및 활성화를 위해 센서에 액세스합니다.

설치 후 유효성 검사

이 절차에서는 센서의 자체 시스템 상태 검사를 사용하여 설치의 유효성을 검사하는 방법을 설명하며 기본 관리 사용자가 사용할 수 있습니다.

설치 유효성을 검사하려면 다음을 수행합니다.

  1. admin 사용자로 OT 센서에 로그인합니다.

  2. 시스템 설정>센서 관리>시스템 상태 검사를 선택합니다.

  3. 다음 명령을 선택합니다.

    • Appliance: 시스템이 실행 중인지 확인합니다. 각 줄 항목에 실행 중이 표시되고 마지막 줄에 시스템이 작동 중이라 표시되는지 확인합니다.
    • Version: 올바른 버전이 설치되었는지 확인합니다.
    • ifconfig: 설치 프로세스 중에 모든 입력 인터페이스가 구성되었는지 확인합니다.

게이트웨이, DNS 또는 방화벽 검사와 같은 추가 설치 후 유효성 검사 테스트는 OT 센서 소프트웨어 설치 유효성 검사를 참조하세요.

초기 설정 정의

다음 절차에서는 다음을 포함하여 센서의 초기 설치 설정을 구성하는 방법을 설명합니다.

  • 센서 콘솔에 로그인하고 관리 사용자 암호 변경
  • 센서 네트워크 세부 정보 정의
  • 모니터링할 인터페이스 정의
  • 센서 활성화
  • SSL/TLS 인증서 설정 구성

센서 콘솔에 로그인하고 기본 암호 변경

이 절차에서는 처음으로 OT 센서 콘솔에 로그인하는 방법을 설명합니다. 관리 사용자의 기본 암호를 변경하라는 메시지가 표시됩니다.

센서에 로그인하려면 다음을 수행합니다.

  1. 설치가 끝나면 브라우저에서 192.168.0.101 센서에 제공된 기본 IP 주소인 IP 주소를 이동합니다.

    초기 로그인 페이지가 나타납니다. 예시:

    Screenshot of the initial sensor sign-in page.

  2. 다음 자격 증명을 입력하고 로그인을 선택합니다.

    • 사용자 이름: support
    • 암호:support

    관리 사용자에 대한 새 암호를 정의하라는 메시지가 표시됩니다.

  3. 새 암호 필드에 새 암호를 입력합니다. 암호는 소문자 및 대문자 영문자, 숫자, 기호를 포함해야 합니다.

    새 암호 확인 필드에서 새 암호를 다시 입력한 다음, 시작을 선택합니다.

    자세한 내용은 기본 권한 있는 사용자를 참조하세요.

Defender for IoT | 개요 페이지가 관리 인터페이스 탭으로 열립니다.

센서 네트워킹 세부 정보 정의

관리 인터페이스 탭에서 다음 필드를 사용하여 새 센서의 네트워크 세부 정보를 정의합니다.

이름 설명
관리 인터페이스 관리 인터페이스로 사용할 인터페이스를 선택하고 Azure Portal에 연결합니다.

컴퓨터에서 물리적 인터페이스를 식별하려면 인터페이스를 선택한 다음, 실제 인터페이스 LED 깜박임을 선택합니다. 선택한 인터페이스와 일치하는 포트가 켜지므로 케이블을 올바르게 연결할 수 있습니다.
IP 주소 센서에 사용할 IP 주소를 입력합니다. 이는 팀에서 브라우저 또는 CLI를 통해 센서에 연결하는 데 사용하는 IP 주소입니다.
서브넷 마스크 센서의 서브넷 마스크로 사용할 주소를 입력합니다.
기본 게이트웨이 센서의 기본 게이트웨이로 사용할 주소를 입력합니다.
DNS 센서의 DNS 서버 IP 주소를 입력합니다.
Hostname 센서에 할당할 호스트 이름을 입력합니다. DNS 서버에 정의된 것과 동일한 호스트 이름을 사용해야 합니다.

이 자습서에서는 클라우드 연결에 프록시 사용(선택 사항) 영역에서 프록시 구성 건너뛰기를 그대로 둡니다.

완료되면 다음: 인터페이스 구성을 선택하여 계속합니다.

모니터링할 인터페이스 정의

인터페이스 연결 탭에는 기본적으로 센서에서 검색한 모든 인터페이스가 표시됩니다. 이 탭을 사용하여 인터페이스별로 모니터링을 설정하거나 해제하거나 각 인터페이스에 대한 특정 설정을 정의합니다.

활발하게 사용 중인 인터페이스만 모니터링하도록 설정을 구성하여 센서 성능을 최적화하는 것이 좋습니다.

인터페이스 구성 탭에서 다음을 수행하여 모니터링되는 인터페이스에 대한 설정을 구성합니다.

  1. 센서가 모니터링할 인터페이스에 대해 사용/사용 안 함 토글을 선택합니다. 계속하려면 하나 이상의 인터페이스를 선택해야 합니다.

    어떤 인터페이스를 사용해야 할지 확실하지 않은 경우 실제 인터페이스 LED 깜박임 단추를 선택하여 컴퓨터에서 선택한 포트가 깜박이도록 합니다. 스위치에 연결한 인터페이스를 선택합니다.

  2. 이 자습서에서는 고급 설정을 건너뛰고 다음: 다시 부팅 >을 선택하여 계속합니다.

  3. 메시지가 표시되면 다시 부팅 시작을 선택하여 센서 컴퓨터를 다시 부팅합니다. 센서가 다시 시작되면 이전에 센서 IP 주소로 정의한 IP 주소로 자동으로 리디렉션됩니다.

    다시 부팅을 기다리려면 취소를 선택합니다.

OT 센서 활성화

이 절차에서는 새 OT 센서를 활성화하는 방법을 설명합니다.

센서를 활성화하려면

  1. 활성화 탭에서 업로드를 선택하여 Azure Portal에서 다운로드한 센서의 활성화 파일을 업로드합니다.

  2. 사용 약관에 동의 옵션을 선택하고 다음: 인증서를 선택합니다.

SSL/TLS 인증서 설정 정의

인증서 탭을 사용하여 OT 센서에 SSL/TLS 인증서를 배포합니다. 모든 프로덕션 환경에 CA 서명 인증서를 사용하는 것이 좋습니다. 이 자습서에서는 자체 서명된 인증서를 사용하도록 선택합니다.

SSL/TLS 인증서 설정을 정의하려면 다음을 수행합니다.

  1. 인증서 탭에서 로컬에서 생성된 자체 서명된 인증서 사용(권장 안 함)을 선택한 다음, 확인 옵션을 선택합니다.

    자세한 내용은 온-프레미스 리소스의 SSL/TLS 인증서 요구 사항OT 어플라이언스의 SSL/TLS 인증서 만들기를 참조하세요.

  2. 마침을 선택하여 초기 설정을 완료하고 센서 콘솔을 엽니다.

다음 단계

OT 모니터링을 위한 전체 배포 경로