Microsoft Defender for IoT의 새로운 기능은 무엇인가요?
이 문서에서는 온-프레미스와 Azure Portal 모두에서 OT 및 Enterprise IoT 네트워크 모두에 걸쳐 Microsoft Defender for IoT에서 사용할 수 있는 기능과 온-프레미스 및 지난 9개월 동안 릴리스된 버전에서 사용할 수 있는 기능에 대해 설명합니다.
9개월 전에 릴리스된 기능은 조직을 위한 Microsoft Defender for IoT의 새로운 보관에 나열되어 있습니다. OT 모니터링 소프트웨어 버전과 관련된 자세한 내용은 OT 모니터링 소프트웨어 릴리스 정보를 참조하세요.
참고 항목
아래 나열된 주목할만한 기능은 미리 보기 상태입니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 기타 법률 용어가 포함되어 있습니다.
2024년 4월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | - 센서 콘솔용 SSO(Single Sign-On) - 센서 시간 드리프트 검색 - 보안 업데이트 |
센서 콘솔에 대한 Single Sign-On
Microsoft Entra ID를 사용하여 Defender for IoT 센서 콘솔에 대해 SSO(Single Sign-On)를 설정할 수 있습니다. SSO를 사용하면 조직 사용자의 간단한 로그인이 가능하고 조직이 규정 표준을 충족할 수 있으며 보안 태세가 향상됩니다. SSO를 사용하면 사용자는 다양한 센서와 사이트에 걸쳐 여러 로그인 자격 증명이 필요하지 않습니다.
Microsoft Entra ID를 사용하면 온보딩 및 오프보딩 프로세스가 간소화되고 관리 오버헤드가 줄어들며 조직 전체에서 일관된 액세스 제어가 보장됩니다.
자세한 내용은 센서 콘솔에 대한 SSO(Single Sign On) 설정을 참조하세요.
센서 시간 드리프트 검색
이 버전에서는 시간 드리프트 문제를 식별하도록 특별히 설계된 연결 도구 기능에 새로운 문제 해결 테스트가 도입되었습니다.
Azure Portal에서 센서를 Defender for IoT에 연결할 때 발생하는 일반적인 문제 중 하나는 센서의 UTC 시간 불일치로 인해 발생하며, 이로 인해 연결 문제가 발생할 수 있습니다. 이 문제를 해결하려면 센서 설정에서 NTP(Network Time Protocol) 서버를 구성하는 것이 좋습니다.
보안 업데이트
이 업데이트는 소프트웨어 버전 23.1.3 기능 설명서에 나열된 6개의 CVE를 해결합니다.
2024년 2월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | 버전 24.1.2: - Azure Portal의 경고 제거 규칙(공개 미리 보기) - OT/IT 환경의 포커스된 알림 - 이제 경고 ID가 Azure Portal 및 센서 콘솔에 맞추어집니다. - 새로 지원되는 프로토콜 클라우드 기능 - Azure Portal의 새 라이선스 갱신 미리 알림 - 새 OT 어플라이언스 하드웨어 프로필 - SNMP MIB OID의 새 필드 |
Azure Portal의 경고 제거 규칙(공개 미리 보기)
이제 Azure Portal에서 경고 제거 규칙을 구성하여 경고를 트리거할 네트워크의 지정된 트래픽을 OT 센서에 지시할 수 있습니다.
- 경고 제목, IP/MAC 주소, 호스트 이름, 서브넷, 센서 또는 사이트를 지정하여 표시하지 않을 경고를 구성합니다.
- 각 제거 규칙을 항상 활성화하거나 특정 유지 관리 기간과 같이 미리 정의된 기간 동안에만 활성화하도록 설정합니다.
팁
현재 온-프레미스 관리 콘솔에서 제외 규칙을 사용하고 있는 경우 Azure Portal의 제거 규칙으로 마이그레이션하는 것이 좋습니다. 자세한 내용은 관련 없는 경고 표시 안 함을 참조하세요.
OT/IT 환경의 포커스된 알림
OT 네트워크와 IT 네트워크 사이에 센서를 배포한 조직은 OT 및 IT 트래픽과 관련된 많은 알림을 처리합니다. 관련 없는 알림이 너무 많으면 알림 피로를 유발하고 전반적인 성능에 영향을 줄 수 있습니다.
이러한 문제를 해결하기 위해 비즈니스 영향 및 네트워크 컨텍스트에 따라 자동으로 경고를 트리거하고 가치가 낮은 IT 관련 경고를 줄이도록 Defender for IoT의 검색 정책을 업데이트했습니다.
자세한 내용은 OT/IT 환경의 집중 경고을 참조하세요.
이제 경고 ID가 Azure Portal 및 센서 콘솔에 맞추어집니다.
이제 Azure Portal 경고 페이지의 ID 열에 있는 경고 ID가 센서 콘솔과 동일한 경고 ID를 표시합니다. Azure Portal 경고에 대해 자세히 알아보세요.
참고 항목
경고가 동일한 경고를 검색한 센서의 다른 경고와 병합된 경우 Azure Portal은 경고를 생성한 첫 번째 센서의 경고 ID를 표시합니다.
새로 지원되는 프로토콜
이제 다음 프로토콜을 지원합니다.
- HART-IP
- FANUC FOCAS
- Dicom
- ABB NetConfig
- Rockwell AADvance Discover
- Rockwell AADvance SNCP/IXL
- Schneider NetManage
L60 하드웨어 프로필은 더 이상 지원되지 않습니다.
L60 하드웨어 프로필은 더 이상 지원되지 않으며 지원 설명서에서 제거되었습니다. 이제 하드웨어 프로필에는 최소 100GB가 필요합니다(최소 하드웨어 프로필은 이제 L100입니다).
L60 프로필에서 지원되는 프로필로 마이그레이션하려면 OT 네트워크 센서 백업 및 복원 프로시저를 따릅니다.
Azure Portal의 새 라이선스 갱신 미리 알림
하나 이상의 OT 사이트에 대한 라이선스가 곧 만료되면 Azure Portal의 Defender for IoT 상단에 라이선스 갱신을 알리는 메모가 표시됩니다. Defender for IoT에서 보안 값을 계속 얻으려면 메모의 링크를 선택하여 Microsoft 365 관리 센터에서 관련 라이선스를 갱신합니다. Defender for IoT 청구에 대해 자세히 알아봅니다.
새로운 OT 어플라이언스 하드웨어 프로필
이제 DELL XE4 SFF 어플라이언스가 생산 라인을 모니터링하는 OT 센서에 지원됩니다. 이는 6개 코어, 8GB RAM, 512GB 디스크 스토리지를 갖춘 생산 라인 환경인 L500 하드웨어 프로필의 일부입니다.
자세한 내용은 DELL XE4 SFF를 참조하세요.
SNMP MIB OID의 새 필드
추가 표준, 제네릭 필드가 SNMP MiB OID에 추가되었습니다. 전체 필드 목록은 수동 SNMP 구성을 위한 OT 센서 OID를 참조하세요.
2024년 1월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | 이제 Azure Portal의 센서 업데이트에서 특정 버전을 선택할 수 있습니다. |
이제 Azure Portal의 센서 업데이트에서 특정 버전을 선택할 수 있습니다.
이제 Azure Portal에서 센서를 업데이트할 때 지원되는 이전 버전(최신 버전 이외의 버전)으로 업데이트하도록 선택할 수 있습니다. 이전에는 Azure Portal에서 Microsoft Defender for IoT에 온보딩된 센서가 자동으로 최신 버전으로 업데이트되었습니다.
테스트 또는 모든 센서를 동일한 버전에 맞추기 등의 다양한 이유로 센서를 특정 버전으로 업데이트할 수 있습니다.
자세한 내용은 IoT용 Defender OT 모니터링 소프트웨어를 참조하세요.
| OT 네트워크 |버전 24.1.0:
- Azure Portal의 경고 제거 규칙(공개 미리 보기)|
2023년 12월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | 하이브리드 및 에어 갭 지원을 위한 새로운 아키텍처 버전 23.2.0: - OT 네트워크 센서는 이제 Debian 11에서 실행됩니다. - 이제 권한 있는 기본 사용자가 지원팀 대신 관리자입니다. 클라우드 기능: - 클라우드 기반 센서 업데이트에 대한 라이브 상태 - SecurityAlert 테이블의 경고 기록 간소화 |
OT 네트워크 센서는 이제 Debian 11에서 실행됩니다.
센서 버전 23.2.0은 Ubuntu가 아닌 Debian 11 운영 체제에서 실행됩니다. Debian은 서버 및 임베디드 디바이스에 널리 사용되는 Linux 기반 운영 체제로, 다른 운영 체제보다 간결하며 안정성, 보안 및 광범위한 하드웨어 지원을 제공합니다.
Debian을 센서 소프트웨어의 기반으로 사용하면 센서에 설치된 패키지 수를 줄여 시스템의 효율성과 보안을 높일 수 있습니다.
운영 체제 전환으로 인해 레거시 버전에서 버전 23.2.0으로의 소프트웨어 업데이트가 평소보다 오래 걸리고 복잡할 수 있습니다.
자세한 내용은 센서 콘솔에서 OT 네트워크 센서 백업 및 복원과 Defender for IoT OT 모니터링 소프트웨어 업데이트를 참조하세요.
이제 권한 있는 기본 사용자가 지원팀 대신 관리자입니다.
버전 23.2.0부터 새 OT 센서 설치와 함께 설치된 권한 있는 기본 사용자는 지원 사용자 대신 관리 사용자입니다.
예를 들어 다음 시나리오에서 권한 있는 관리 사용자를 사용합니다.
설치 후 처음으로 새 센서에 로그인 자세한 내용은 OT 센서 구성 및 활성화를 참조하세요.
Defender for IoT CLI 사용 자세한 내용은 IoT용 Defender CLI 명령 사용을 참조하세요.
센서의 지원 페이지에 액세스
Important
센서 소프트웨어를 이전 버전에서 버전 23.2.0으로 업데이트하는 경우 권한 있는 지원 사용자의 이름이 자동으로 관리로 바뀝니다. CLI 스크립트와 같은 지원 자격 증명을 저장한 경우 새 관리 사용자를 대신 사용하도록 스크립트를 업데이트해야 합니다.
레거시 지원 사용자는 23.2.0 이전 버전에서만 사용할 수 있으며 지원됩니다.
자세한 내용은 Defender for IoT를 사용한 OT 모니터링을 위한 온-프레미스 사용자 및 역할을 참조하세요.
하이브리드 및 에어 갭 지원을 위한 새로운 아키텍처
하이브리드 및 에어 갭 네트워크는 정부, 금융 서비스 또는 산업 제조와 같은 많은 산업 분야에서 일반적입니다. 에어 갭 네트워크는 엔터프라이즈 네트워크 또는 인터넷과 다른 비보안 외부 네트워크와 물리적으로 분리되며 사이버 공격에 덜 취약합니다. 그러나 에어 갭 네트워크는 여전히 완전히 안전하지 않으며, 여전히 보안이 침해될 수 있으며, 보안이 유지되고 신중하게 모니터링해야 합니다.
이제 Defender for IoT는 하이브리드 및 에어 갭 네트워크의 연결 및 모니터링을 위한 새로운 지침을 제공합니다. 새 아키텍처 지침은 SOC 작업에 효율성, 보안 및 안정성을 추가하고 유지 관리 및 문제 해결을 위한 구성 요소를 줄이도록 설계되었습니다. 새 아키텍처에서 사용되는 센서 기술을 사용하면 온-프레미스 처리를 통해 자체 네트워크 내에 데이터를 유지하므로 클라우드 리소스의 필요성이 줄어들고 성능이 향상됩니다.
다음 이미지는 각 OT 센서가 클라우드 또는 온-프레미스의 여러 보안 관리 시스템에 연결되는 Defender for IoT 시스템 모니터링 및 유지 관리에 대한 권장 사항의 개괄적인 샘플 아키텍처를 보여 줍니다.
이 샘플 이미지에서는 경고, syslog 메시지 및 API에 대한 통신이 검은색 실선으로 표시됩니다. 온-프레미스 관리 통신은 단색 보라색 선으로 표시되고 클라우드/하이브리드 관리 통신은 검은색 점선으로 표시됩니다.
현재 온-프레미스 관리 콘솔을 사용하여 OT 센서를 관리하는 기존 고객은 업데이트된 아키텍처 지침으로 전환하는 것이 좋습니다.
자세한 내용은 하이브리드 또는 에어 갭 OT 센서 관리 배포를 참조하세요.
온-프레미스 관리 콘솔 사용 중단
레거시 온-프레미스 관리 콘솔은 2025년 1월 1일 이후에는 다운로드할 수 없습니다. 이 날짜 이전에 온-프레미스 및 클라우드 API의 전체 스펙트럼을 사용하여 새 아키텍처로 전환하는 것이 좋습니다.
2025년 1월 1일 이후에 릴리스된 센서 버전은 온-프레미스 관리 콘솔에서 관리할 수 없습니다.
2024년 1월 1일부터 2025년 1월 1일 사이에 릴리스된 센서 소프트웨어 버전은 온-프레미스 관리 콘솔 릴리스를 계속 지원합니다.
클라우드에 연결할 수 없는 에어 갭 센서는 센서 콘솔 또는 REST API를 통해 직접 관리할 수 있습니다.
자세한 내용은 다음을 참조하세요.
클라우드 기반 센서 업데이트에 대한 라이브 상태
Azure Portal에서 센서 업데이트를 실행하는 경우 업데이트 프로세스 중에 센서 버전 열에 새 진행률 표시줄이 나타납니다. 업데이트가 진행됨에 따라 완료된 업데이트의 백분율이 표시되고 프로세스가 진행 중이거나 중단되지 않았거나 실패했음을 보여 줍니다. 예시:
자세한 내용은 IoT용 Defender OT 모니터링 소프트웨어를 참조하세요.
SecurityAlert 테이블의 경고 기록 간소화
Microsoft Sentinel과 통합할 때 경고 상태 및 심각도 변경에 대해서만 Microsoft Sentinel SecurityAlert 테이블이 즉시 업데이트됩니다. 기존 경고의 마지막 검색과 같은 경고의 다른 변경 내용은 몇 시간 동안 집계되며 최신 변경 내용만 표시합니다.
자세한 내용은 경고당 여러 레코드에 대한 이해를 참조하세요.
2023년 11월
| 서비스 영역 | 업데이트 |
|---|---|
| Enterprise IoT 네트워크 | Enterprise IoT 보호가 이제 Microsoft 365 E5 및 E5 보안 라이선스에 포함됨 |
| OT 네트워크 | 보안 스택 통합 지침이 업데이트됨 |
Enterprise IoT 보호가 이제 Microsoft 365 E5 및 E5 보안 라이선스에 포함됨
Defender for IoT를 사용한 EIoT(Enterprise IoT) 보안은 비관리형 IoT 디바이스를 검색하고 Enterprise IoT 디바이스용으로 특별히 설계된 지속적인 모니터링, 취약성 평가 및 맞춤형 권장 사항을 비롯한 추가 보안 가치를 제공합니다. Microsoft Defender 포털에서 Microsoft Defender XDR, Microsoft Defender 취약성 관리 및 엔드포인트용 Microsoft Defender와 원활하게 통합되어 조직의 네트워크를 보호하는 전체적인 접근 방식을 보장합니다.
이제 Defender for IoT EIoT 모니터링은 ME5(Microsoft 365 E5) 및 E5 보안 플랜의 일부로 자동으로 지원되며 사용자 라이선스당 최대 5개의 디바이스를 포함합니다. 예를 들어 조직에 500 ME5 라이선스가 있는 경우 Defender for IoT를 사용하여 최대 2,500개의 EIoT 디바이스를 모니터링할 수 있습니다. 이 통합은 Microsoft 365 환경 내에서 IoT 에코시스템을 강화하기 위한 중요한 도약을 나타냅니다.
ME5 또는 E5 보안 플랜이 있지만 EIoT 디바이스에 Defender for IoT를 아직 사용하지 않는 고객은 Microsoft Defender 포털에서 지원을 켜야 합니다.
ME5 또는 E5 보안 플랜이 없는 신규 고객은 엔드포인트용 Microsoft Defender P2에 대한 추가 기능으로 독립 실행형 Microsoft Defender for IoT - EIoT 디바이스 라이선스 - 추가 기능 라이선스를 구매할 수 있습니다. Microsoft 관리 센터에서 독립 실행형 라이선스를 구입합니다.
레거시 Enterprise IoT 플랜 및 ME5/E5 보안 플랜을 사용하는 기존 고객은 자동으로 새 라이선스 방법으로 전환됩니다. 이제 Enterprise IoT 모니터링이 추가 비용 없이 라이선스에 번들로 제공되며 사용자에게 필요한 작업 항목은 없습니다.
레거시 Enterprise IoT 플랜이 있고 ME5/E5 보안 플랜이 없는 고객은 플랜이 만료될 때까지 기존 플랜을 계속 사용할 수 있습니다.
엔드포인트용 Defender P2 고객은 평가판 라이선스를 독립 실행형 라이선스로 사용할 수 있습니다. 평가판 라이선스는 90일 동안 100개의 디바이스를 지원합니다.
자세한 내용은 다음을 참조하세요.
- 엔터프라이즈에서 IoT 디바이스 보호
- 엔드포인트용 Defender에서 Enterprise IoT 보안 사용
- IoT용 Defender 구독 청구
- Microsoft Defender for IoT 플랜 및 가격 책정
- 블로그: Defender for IoT를 사용하는 Enterprise IoT 보안이 이제 Microsoft 365 E5 및 E5 보안 플랜에 포함됨
보안 스택 통합 지침이 업데이트됨
Defender for IoT는 다양한 보안 솔루션의 전반적인 견고성, 확장성 및 유지 관리 용이성을 개선하기 위해 보안 스택 통합을 새로이 하고 있습니다.
보안 솔루션을 클라우드 기반 시스템과 통합하는 경우 Microsoft Sentinel을 통해 데이터 커넥터를 사용하는 것이 좋습니다. 온-프레미스 통합의 경우 syslog 이벤트를 전달하도록 OT 센서를 구성하거나 Defender for IoT API를 사용하는 것이 좋습니다.
레거시 Aruba ClearPass, Palo Alto Panorama 및 Splunk 통합은 센서 버전 23.1.3을 사용하여 2024년 10월까지 지원되며 향후 주요 소프트웨어 버전에서는 지원되지 않습니다.
레거시 통합 방법을 사용하는 고객의 경우 통합을 새 권장 방법으로 전환하는 것이 좋습니다. 자세한 내용은 다음을 참조하세요.
- Microsoft Defender for IoT와 ClearPass 통합
- Microsoft Defender for IoT와 Palo Alto 통합
- Microsoft Defender for IoT와 Splunk 통합
- Microsoft 및 파트너 서비스와 통합
2023년 9월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | 버전 23.1.3: - OT 센서 연결 문제 해결 - OT 센서 읽기 전용 사용자에 대한 이벤트 타임라인 액세스 |
OT 센서 연결 문제 해결
버전 23.1.3부터 OT 센서는 Azure Portal 연결 문제를 자동으로 해결하도록 도움을 줍니다. 클라우드 관리형 센서가 연결되지 않으면 Azure Portal, 사이트 및 센서 페이지와 센서의 개요 페이지에 오류가 표시됩니다.
예시:
센서에서 다음 중 하나를 수행하여 연결 문제 및 완화 단계에 대한 세부 정보를 제공하는 클라우드 연결 문제 해결 창을 엽니다.
- 개요 페이지에서 페이지 맨 위에 있는 문제 해결 링크를 선택합니다.
- 시스템 설정 > 센서 관리 > 상태 및 문제 해결 > 클라우드 연결 문제 해결을 선택합니다.
자세한 내용은 센서 확인 - 클라우드 연결 문제를 참조하세요.
OT 센서 읽기 전용 사용자에 대한 이벤트 타임라인 액세스
버전 23.1.3부터 OT 센서의 읽기 전용 사용자는 이벤트 타임라인 페이지를 볼 수 있습니다. 예시:
자세한 내용은 다음을 참조하세요.
2023년 8월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | Defender for IoT의 CVE가 CVSS v3에 맞춰집니다. |
Defender for IoT의 CVE가 CVSS v3에 맞춰집니다.
OT 센서 및 Azure Portal에 표시된 CVE 점수는 NVD(National Vulnerability Database)와 정렬되며, Defender for IoT의 8월 위협 인텔리전스 업데이트부터 CVSS v3 점수는 관련이 있는 경우 표시됩니다. 관련 CVSS v3 점수가 없으면 CVSS v2 점수가 대신 표시됩니다.
Microsoft Sentinel 솔루션에서 사용할 수 있는 리소스를 가지고 Azure Portal에서 Defender for IoT의 디바이스 세부 정보의 취약성 탭 또는 OT 센서의 데이터 마이닝 쿼리에서 Azure Portal의 CVE 데이터를 봅니다. 자세한 내용은 다음을 참조하세요.
- OT 네트워크 센서에서 위협 인텔리전스 패키지 유지 관리
- 전체 디바이스 세부 정보 보기
- 자습서: Microsoft Sentinel을 사용하여 IoT 디바이스에 대한 위협 조사 및 탐지
- 데이터 마이닝 쿼리 만들기
2023년 7월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | 버전 23.1.2: - OT 센서 설치 및 설정 향상 - 배포 분석 및 미세 조정 - 센서 GUI를 통해 모니터링되는 인터페이스 구성 - 간소화된 권한 있는 사용자 사이트 기반 라이선스로 마이그레이션 |
OT 센서 설치 및 설정 향상
버전 23.1.2에서는 OT 센서 설치 및 설정 마법사를 더 빠르고 사용자 친화적으로 업데이트했습니다. 업데이트에는 다음이 포함됩니다.
설치 마법사: 자체 물리적 또는 가상 머신에 소프트웨어를 설치하는 경우 이제 Linux 설치 마법사가 사용자의 입력이나 세부 정보를 요구하지 않고 설치 프로세스를 직접 진행합니다.
배포 워크스테이션에서 설치가 실행되는 것을 볼 수 있지만 키보드나 화면을 사용하지 않고 소프트웨어를 설치하도록 선택하여 설치를 자동으로 실행되도록 할 수도 있습니다. 완료되면 기본 IP 주소를 사용하여 브라우저에서 센서에 액세스합니다.
설치는 네트워크 설정에 기본값을 사용합니다. 이후 CLI에서 이전과 같이 또는 브라우저 기반의 새 마법사에서 이런 설정을 미세 조정합니다.
모든 센서는 기본 지원 사용자 및 암호를 사용하여 설치됩니다. 첫 번째 로그인을 사용하여 기본 암호를 즉시 변경합니다.
브라우저에서 초기 설정 구성: 소프트웨어를 설치하고 초기 네트워크 설정을 구성한 후 동일한 브라우저 기반 마법사를 계속 사용하여 센서를 활성화하고 SSL/TLS 인증서 설정을 정의합니다.
자세한 내용은 OT 센서 설치 및 설정 및 OT 센서 구성 및 활성화를 참조하세요.
배포 분석 및 미세 조정
설치 및 초기 설정을 완료한 후 센서 설정에서 센서가 기본적으로 감지하는 트래픽을 분석합니다. 센서에서 센서 설정>기본>배포를 선택하여 현재 검색을 분석합니다. 예시:
네트워크에서 센서의 위치를 변경하거나 모니터링 인터페이스가 올바르게 연결되어 있는지 확인하는 등 배포를 미세 조정해야 할 수 있습니다. 변경한 후 분석을 다시 선택하여 업데이트된 모니터링 상태를 확인합니다.
자세한 내용은 배포 분석을 참조하세요.
센서 GUI를 통해 모니터링되는 인터페이스 구성
초기 센서 설정 후 트래픽을 모니터링하는 데 사용되는 인터페이스를 수정하려는 경우 이제 새 센서 설정>인터페이스 구성 페이지를 사용하여 CLI에서 액세스하는 Linux 마법사 대신 설정을 업데이트할 수 있습니다. 예시:
인터페이스 구성 페이지에는 초기 설치 마법사의 인터페이스 구성 탭과 동일한 옵션이 표시됩니다.
자세한 내용은 센서의 모니터링 인터페이스 업데이트(ERSPAN 구성)를 참조하세요.
간소화된 권한 있는 사용자
버전 23.1.2의 새 센서 설치에서는 기본적으로 권한 있는 지원 사용자만 사용할 수 있습니다. cyberx 및 cyberx_host 사용자를 사용할 수 있지만 기본적으로 사용하지 않도록 설정됩니다. Defender for IoT CLI 액세스와 같이 이런 사용자를 사용해야 하는 경우 사용자 암호를 변경합니다.
이전 버전에서 23.1.2로 업데이트된 센서에서는 cyberx 및 cyberx_host 사용자가 이전과 같이 사용하도록 설정된 상태로 유지됩니다.
팁
지원 사용자로 로그인할 때 cyberx 또는 cyberx_host 사용자만 사용할 수 있는 CLI 명령을 실행하려면 로그인한 경우 먼저 호스트 머신의 시스템 루트에 액세스해야 합니다. 자세한 내용은 관리 사용자로 시스템 루트 액세스를 참조하세요.
사이트 기반 라이선스로 마이그레이션
기존 고객은 이제 사이트 기반 Microsoft 365 라이선스를 기반으로 레거시 Defender for IoT 구매 플랜을 Microsoft 365 플랜으로 마이그레이션할 수 있습니다.
플랜 및 가격 책정 페이지에서 플랜을 편집하고 현재 월별 또는 연간 플랜 대신 Microsoft 365 플랜을 선택합니다. 예시:
새로 라이선스가 부여된 사이트 크기와 일치하도록 관련 사이트를 편집해야 합니다. 예시:
자세한 내용은 레거시 OT 플랜에서 마이그레이션 및 Defender for IoT 구독 청구를 참조하세요.
2023년 6월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | 사이트 기반 라이선스로 청구되는 OT 플랜 안전하지 않은 암호 및 중요한 CVE에 대한 OT 네트워크에 대한 보안 권장 사항 |
사이트 기반 라이선스로 청구되는 OT 플랜
2023년 6월 1일부터 OT 모니터링을 위한 Microsoft Defender for IoT 라이선스는 Microsoft 365 관리 센터에서만 구매할 수 있습니다.
해당 사이트의 크기에 따라 라이선스는 개별 사이트에 사용할 수 있습니다. 60일 동안 대규모 사이트 크기를 포함하는 평가판 라이선스도 사용할 수 있습니다.
추가 라이선스 구매는 Azure Portal OT 플랜에서 자동으로 업데이트됩니다.
새 센서를 온보딩하면 이제 라이선스가 부여된 사이트 크기에 따라 사이트에 센서를 할당하도록 요청됩니다.
기존 고객은 기능이 변경되지 않고 Azure 구독에 이미 온보딩된 레거시 OT 플랜을 계속 사용할 수 있습니다. 그러나 Microsoft 365 관리 센터 해당 라이선스가 없으면 새 구독에 새 플랜을 추가할 수 없습니다.
팁
Defender for IoT 사이트는 시설, 캠퍼스, 사무실 건물, 병원, 장비 등과 같은 물리적 위치입니다. 각 사이트에는 감지된 네트워크 트래픽에서 디바이스를 식별하는 여러 네트워크 센서가 포함될 수 있습니다.
자세한 내용은 다음을 참조하세요.
- IoT용 Defender 구독 청구
- Microsoft Defender for IoT 평가판 시작
- Azure 구독에서 OT 플랜 관리
- Defender for IoT에 OT 센서 온보딩
안전하지 않은 암호 및 중요한 CVE에 대한 OT 네트워크에 대한 보안 권장 사항
이제 Defender for IoT는 고객이 OT/IoT 네트워크 보안 태세를 관리하는 데 도움이 될 수 있도록 안전하지 않은 암호와 중요한 CVE에 대한 보안 권장 사항을 제공합니다.
네트워크에서 검색된 디바이스에 대한 다음 보안 권장 사항을 Azure Portal에서 확인할 수 있습니다.
취약한 디바이스 보호: 이 권장 사항이 있는 디바이스는 심각도가 심각한 취약성이 하나 이상 발견한 경우입니다. 디바이스 공급업체 또는 CISA(사이버 보안 및 인프라 기관)에서 나열한 단계를 따르는 것이 좋습니다.
인증이 누락된 디바이스에 대한 보안 암호 설정: 이 권장 사항이 있는 디바이스는 성공적인 로그인에 따라 인증 없이 찾을 수 있습니다. 인증을 사용하도록 설정하고 최소 길이와 복잡성으로 더 강력한 암호를 설정하는 것이 좋습니다.
최소 길이와 복잡성으로 더 강력한 암호 설정: 이 권장 사항이 있는 디바이스는 성공적인 로그인을 기반으로 약한 암호를 사용하여 찾을 수 있습니다. 최소 길이와 복잡성이 있는 더 강력한 암호로 디바이스 암호를 변경하는 것이 좋습니다.
자세한 내용은 지원되는 보안 권장 사항을 참조하세요.
2023년 5월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | 센서 버전 22.3.9: - OT 센서 로그에 대한 모니터링 및 지원 개선 센서 버전 22.3.x 이상: - Azure Portal에서 Active Directory 및 NTP 설정 구성 |
OT 센서 로그에 대한 모니터링 및 지원 개선
버전 22.3.9에서는 새 엔드포인트를 통해 OT 센서에서 로그를 수집하는 새로운 기능을 추가했습니다. 추가 데이터는 고객 문제를 해결하는 데 도움이 되며, 더 빠른 응답 시간과 더 많은 대상 솔루션 및 권장 사항을 제공합니다. OT 센서를 Azure에 연결하는 필수 엔드포인트 목록에 새 엔드포인트가 추가되었습니다.
OT 센서를 업데이트한 후 최신 엔드포인트 목록을 다운로드하고 센서가 나열된 모든 엔드포인트에 액세스할 수 있는지 확인합니다.
자세한 내용은 다음을 참조하세요.
Azure Portal에서 Active Directory 및 NTP 설정 구성
이제 Azure Portal 사이트 및 센서 페이지에서 원격으로 OT 센서에 대한 Active Directory 및 NTP 설정을 구성할 수 있습니다. 이런 설정은 OT 센서 버전 22.3.x 이상에서 사용할 수 있습니다.
자세한 내용은 센서 설정 참조를 참조하세요.
2023년 4월
| 서비스 영역 | 업데이트 |
|---|---|
| 설명서 | 엔드투엔드 배포 가이드 |
| OT 네트워크 | 센서 버전 22.3.8: - 클라이언트 SSL/TLS 인증서에 대한 프록시 지원 - 로컬 스크립트로 Windows 워크스테이션과 서버 데이터 보강(공개 미리 보기) - 자동으로 해결된 OS 알림 - SSL/TLS 인증서 업로드 시 UI 개선 |
엔드투엔드 배포 가이드
이제 Defender for IoT 설명서에는 다음 시나리오에 대한 전체 배포 가이드 집합이 포함된 새 배포 섹션이 포함되어 있습니다.
예를 들어 OT 모니터링에 권장되는 배포에는 다음 단계가 포함되어 있으며, 이 단계는 모두 새 문서에 자세히 설명되어 있습니다.
각 섹션의 단계별 지침은 고객이 성공을 위해 최적화하고 제로 트러스트 배포할 수 있도록 돕기 위한 것입니다. 위쪽의 흐름 차트와 아래쪽의 다음 단계 링크를 포함하여 각 페이지의 탐색 요소는 프로세스의 위치, 완료한 내용, 다음 단계를 나타냅니다. 예시:
자세한 내용은 Defender for IoT OT 모니터링 배포를 참조하세요.
클라이언트 SSL/TLS 인증서에 대한 프록시 지원
Zscaler 및 Palo Alto Prisma와 같은 서비스를 사용하는 경우와 같이 SSL/TLS 트래픽을 검사하는 프록시 서버에는 클라이언트 SSL/TLS 인증서가 필요합니다. 버전 22.3.8부터 OT 센서 콘솔을 통해 클라이언트 인증서를 업로드할 수 있습니다.
자세한 내용은 네트워크 구성을 참조하세요.
로컬 스크립트로 Windows 워크스테이션과 서버 데이터 보강(공개 미리 보기)
OT 센서 UI에서 사용할 수 있는 로컬 스크립트를 사용하여 OT 센서에서 Microsoft Windows 워크스테이션 및 서버 데이터를 보강합니다. 스크립트는 디바이스를 검색하고 데이터를 보강하는 유틸리티로 실행되며 수동으로 또는 표준 자동화 도구를 사용하여 실행할 수 있습니다.
자세한 내용은 로컬 스크립트로 Windows 워크스테이션 및 서버 데이터 보강(공개 미리 보기)을 참조하세요.
자동으로 해결된 OS 알림
OT 센서를 버전 22.3.8로 업데이트한 후에 는 운영 체제 변경에 대한 새 디바이스 알림이 생성되지 않습니다. 기존 운영 체제 변경 알림은 14일 이내에 해제되거나 처리되지 않으면 자동으로 해결됩니다.
자세한 내용은 디바이스 알림 응답을 참조하세요.
SSL/TLS 인증서 업로드 시 UI 개선
OT 센서 버전 22.3.8에는 SSL/TLS 인증서 설정을 정의하고 CA 서명된 인증서를 배포하기 위한 향상된 SSL/TLS 인증서 구성 페이지가 있습니다.
자세한 내용은 SSL/TLS 인증서 관리를 참조하세요.
2023년 3월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | 센서 버전 22.3.6/22.3.7: - 임시 디바이스 지원 - 허용 목록을 구성하여 DNS 트래픽 알아보기 - 디바이스 데이터 보존 업데이트 - SSL/TLS 인증서 업로드 시 UI 개선 - 활성화 파일 만료 업데이트 - 디바이스 인벤토리를 관리하기 위한 UI 향상 - 모든 악의적인 활동 의심 알림에 대한 심각도가 업데이트됨 - 자동으로 해결된 디바이스 알림 버전 22.3.7에는 22.3.6과 동일한 기능이 포함되어 있습니다. 버전 22.3.6이 설치된 경우 중요한 버그 수정이 포함된 버전 22.3.7로 업데이트하는 것이 좋습니다. 클라우드 기능: - Defender for IoT에 대한 새로운 Microsoft Sentinel 인시던트 환경 |
임시 디바이스 지원
이제 Defender for IoT는 일시적인 디바이스를 짧은 시간 동안만 검색된 디바이스를 나타내는 고유한 디바이스 유형으로 식별합니다. 이런 디바이스가 네트워크에 미치는 영향을 이해하려면 이런 디바이스를 신중하게 조사하는 것이 좋습니다.
자세한 내용은 Defender for IoT 디바이스 인벤토리 및 Azure Portal에서 디바이스 인벤토리 관리를 참조하세요.
허용 목록을 구성하여 DNS 트래픽 알아보기
이제 지원 사용자가 OT 센서에서 도메인 이름의 허용 목록을 만들어 무단 인터넷 경고 수를 줄입니다.
DNS 허용 목록을 구성하면 센서는 경고를 트리거하기 전에 목록에 대해 승인되지 않은 각 인터넷 연결 시도를 확인합니다. 도메인의 FQDN이 허용 목록에 포함된 경우 센서는 경고를 트리거하지 않고 트래픽을 자동으로 허용합니다.
모든 OT 센서 사용자는 데이터 마이닝 보고서에서 허용된 DNS 도메인 목록과 확인된 IP 주소 목록을 볼 수 있습니다.
예시:
자세한 내용은 OT 네트워크에서 인터넷 연결 허용 및 데이터 마이닝 쿼리 만들기를 참조하세요.
디바이스 데이터 보존 업데이트
OT 센서 및 온-프레미스 관리 콘솔 디바이스 데이터 보존 기간이 마지막 작업 값의 날짜로부터 90일로 업데이트되었습니다.
자세한 내용은 데이터 보존 기간을 참조하세요.
SSL/TLS 인증서 업로드 시 UI 개선
OT 센서 버전 22.3.6에는 SSL/TLS 인증서 설정을 정의하고 CA 서명된 인증서를 배포하기 위한 향상된 SSL/TLS 인증서 구성 페이지가 있습니다.
자세한 내용은 SSL/TLS 인증서 관리를 참조하세요.
활성화 파일 만료 업데이트
로컬 관리형 OT 센서의 활성화 파일은 클라우드 연결 OT 센서의 활성화 파일과 마찬가지로 Azure 구독에서 Defender for IoT 플랜이 활성화되는 한 활성화된 상태로 유지됩니다.
최신 버전에서 OT 센서를 업데이트하거나 로컬 관리형에서 클라우드 연결형으로 이동하는 등의 센서 관리 모드를 전환하는 경우에만 활성화 파일을 업데이트해야 합니다.
자세한 내용은 개별 센서 관리를 참조하세요.
디바이스 인벤토리를 관리하기 위한 UI 향상
버전 22.3.6에서 OT 센서의 디바이스 인벤토리에 다음과 같은 향상된 기능이 추가되었습니다.
- OT 센서에서 디바이스 세부 정보를 편집을 더 원활하게 할 수 있는 프로세스입니다. 페이지 맨 위에 있는 도구 모음의 새 편집 단추를 사용하여 OT 센서 콘솔의 디바이스 인벤토리 페이지에서 직접 디바이스 세부 정보를 편집합니다.
- 이제 OT 센서는 여러 디바이스를 동시에 삭제할 수 있습니다.
- 이제 디바이스병합 및 삭제 절차에는 작업이 완료되면 표시되는 확인 메시지가 포함됩니다.
자세한 내용은 센서 콘솔에서 OT 디바이스 인벤토리 관리를 참조하세요.
모든 악의적인 활동 의심 알림에 대한 심각도가 업데이트됨
악의적인 활동 의심 범주가 있는 모든 경고는 이제 심각도가 위험입니다.
자세한 내용은 맬웨어 엔진 경고를 참조하세요.
자동으로 해결된 디바이스 알림
버전 22.3.6부터 OT 센서의 디바이스 맵 페이지에서 선택한 알림은 이제 14일 이내에 해제되거나 처리되지 않으면 자동으로 해결됩니다.
센서 버전을 업데이트한 후 비활성 디바이스 및 새 OT 디바이스 알림이 더 이상 표시되지 않습니다. 업데이트가 자동으로 해제되기 전에 남은 비활성 디바이스 알림은 여전히 처리할 레거시 새 OT 디바이스 알림이 있을 수 있습니다. 센서에서 이런 알림을 제거하기 위해 필요에 따라 이런 알림을 처리합니다.
자세한 내용은 디바이스 알림 관리를 참조하세요.
Defender for IoT에 대한 새로운 Microsoft Sentinel 인시던트 환경
Microsoft Sentinel의 새로운 인시던트 환경에는 Defender for IoT 고객을 위한 특정 기능이 포함되어 있습니다. OT/IoT 관련 인시던트를 조사하는 SOC 분석가는 이제 인시던트 세부 정보 페이지에서 다음과 같은 향상된 기능을 사용할 수 있습니다.
관련 사이트, 영역, 센서, 디바이스 중요도를 확인하여 인시던트의 비즈니스 영향 및 물리적 위치를 더 잘 이해합니다.
관련 디바이스에 대한 별도의 엔터티 세부 정보 페이지에서 조사하는 대신 영향을 받는 디바이스 및 관련 디바이스 세부 정보의 집계된 타임라인을 검토합니다.
인시던트 세부 정보 페이지에서 직접 OT 경고 수정 단계를 검토합니다.
자세한 내용은 자습서: IoT 디바이스에 대한 위협 조사 및 탐지 및 Microsoft Sentinel에서 인시던트 탐색 및 조사를 참조하세요.
2023년 2월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | 클라우드 기능: - Microsoft Sentinel: Microsoft Defender for IoT 솔루션 버전 2.0.2 - 사이트 및 센서 페이지에서 업데이트 다운로드(공개 미리 보기) - Azure Portal 경고 페이지 GA - Azure Portal에서 디바이스 인벤토리 GA - 디바이스 인벤토리 그룹화 개선(공개 미리 보기) - Azure 디바이스 인벤토리의 중요 인벤토리(공개 미리 보기) 센서 버전 22.2.3: Azure Portal에서 OT 센서 설정 구성(공개 미리 보기) |
| Enterprise IoT 네트워크 | 클라우드 기능: Azure Portal에서 경고 페이지 GA |
Microsoft Sentinel: Microsoft Defender for IoT 솔루션 버전 2.0.2
Microsoft Defender for IoT의 솔루션 버전 2.0.2는 Microsoft Sentinel 콘텐츠 허브에서 이제 사용할 수 있으며, 인시던트 생성을 위한 분석 규칙, 향상된 인시던트 세부 정보 페이지, 분석 규칙 쿼리의 성능이 개선되었습니다.
자세한 내용은 다음을 참조하세요.
사이트 및 센서 페이지에서 업데이트 다운로드(공개 미리 보기)
OT 센서 또는 온-프레미스 관리 콘솔에서 로컬 소프트웨어 업데이트를 실행하는 경우 이제 사이트 및 센서 페이지에서 센서 업데이트(미리 보기) 메뉴를 통해 액세스하는 업데이트 패키지를 다운로드하기 위한 새 마법사를 제공합니다.
예시:
위협 인텔리전스 업데이트는 이제 사이트 및 센서 페이지 >위협 인텔리전스 업데이트(미리 보기) 옵션에서만 사용할 수 있습니다.
온-프레미스 관리 콘솔 대한 업데이트 패키지는 시작>온-프레미스 관리 콘솔 탭에서도 사용할 수 있습니다.
자세한 내용은 다음을 참조하세요.
Azure Portal에서 디바이스 인벤토리 GA
이제 Azure Portal 디바이스 인벤토리 페이지가 GA(일반 공급)되므로 검색된 모든 디바이스에서 대규모로 중앙 집중식 보기를 제공합니다.
Defender for IoT의 디바이스 인벤토리를 사용하면 제조업체, 유형, 일련 번호, 펌웨어 등과 같은 특정 디바이스에 대한 세부 정보를 식별할 수 있습니다. 디바이스에 대한 세부 정보를 수집하면 팀이 가장 중요한 자산을 손상할 수 있는 취약성을 사전에 조사하는 데 도움이 됩니다.
모든 관리 디바이스 및 관리되지 않는 디바이스를 포함하는 최신 인벤토리를 빌드하여 모든 IoT/OT 디바이스 관리합니다.
위험 기반 접근 방식으로 디바이스를 보호하여 누락된 패치, 취약성과 같은 위험을 식별하고 위험 점수 매기기 및 자동화된 위협 모델링에 따라 수정의 우선 순위를 지정합니다.
관련 없는 디바이스를 삭제하고 조직 관련 정보를 추가하여 조직 기본 설정을 강조하여 인벤토리를 업데이트합니다.
디바이스 인벤토리 GA에는 다음과 같은 UI 개선 사항이 포함되어 있습니다.
| 향상 | 설명 |
|---|---|
| 그리드 수준 향상 | - 전체 디바이스 인벤토리를 내보내 오프라인으로 검토하고 팀과 노트 비교 - 더 이상 존재하지 않거나 더 이상 작동하지 않는 관련 없는 디바이스 삭제 - 센서에서 고유한 단일 디바이스와 연결된 별도의 네트워크 엔터티를 검색한 경우 디바이스를 병합하여 디바이스 목록을 미세 조정합니다. 예를 들어 네트워크 카드가 4개 있는 PLC, WiFi와 실제 네트워크 카드가 모두 있는 랩톱 또는 네트워크 카드가 여러 개 있는 단일 워크스테이션이 있습니다. - 보기에 관심이 있는 데이터만 반영하도록 테이블 보기 편집합니다. |
| 디바이스 수준 향상 | - 상대적 중요도, 설명 태그, 비즈니스 기능 정보와 같은 조직 특정 컨텍스트 세부 정보에 주석을 추가하여 디바이스 세부 정보를 편집합니다. |
| 필터 및 검색 개선 사항 | - 모든 디바이스 인벤토리 필드에서 심층 검색을 실행하여 가장 중요한 디바이스를 빠르게 찾기 - 모든 필드를 기준으로 디바이스 인벤토리를 필터링합니다. 예를 들어 유형별로 필터링하여 산업용 디바이스를 식별하거나 시간 필드를 필터링하여 활성 및 비활성 디바이스를 확인합니다. |
또한 풍부한 보안, 거버넌스, 관리자 제어는 관리자를 할당하여 소유자를 대신하여 디바이스를 병합, 삭제, 편집할 수 있는 사용자를 제한하는 기능을 제공합니다.
디바이스 인벤토리 그룹화 개선(공개 미리 보기)
Azure Portal에서 디바이스 인벤토리 페이지에서는 새 그룹화 범주를 지원합니다. 이제 클래스, 데이터 원본, 위치, Purdue 수준, 사이트, 유형, 공급업체, 영역을 기준으로 디바이스 인벤토리를 그룹화할 수 있습니다. 자세한 내용은 디바이스 세부 정보 보기를 참조하세요.
Azure 디바이스 인벤토리의 중요 인벤토리(공개 미리 보기)
이제 Azure Portal에서 디바이스 인벤토리 페이지에 디바이스에 대한 네트워크 위치 표시가 포함되어 IoT/OT 범위 내의 디바이스에 디바이스 인벤토리를 집중합니다.
구성된 서브넷에 따라 로컬 또는 라우트된 디바이스를 보고 필터링합니다. 네트워크 위치 필터는 기본적으로 설정됩니다. 디바이스 인벤토리의 열을 편집하여 네트워크 위치 열을 추가합니다. Azure Portal 또는 OT 센서에서 서브넷을 구성합니다. 자세한 내용은 다음을 참조하세요.
Azure Portal에서 OT 센서 설정 구성(공개 미리 보기)
센서 버전 22.2.3 이상의 경우 이제 Azure Portal의 사이트 및 센서 페이지를 통해 액세스되는 새 센서 설정(미리 보기) 페이지를 사용하여 클라우드에 연결된 센서에 대해 선택한 설정을 구성할 수 있습니다. 예시:
자세한 내용은 Azure Portal에서 OT 센서 설정 정의 및 보기(공개 미리 보기)를 참조하세요.
Azure Portal에서 경고 GA
이제 Azure Portal에서 경고 페이지가 일반 공급됩니다. Microsoft Defender for IoT 경고는 네트워크에 탐지된 이벤트와 관련된 실시간 세부 정보로 네트워크 보안 및 운영을 강화합니다. 경고는 OT 또는 Enterprise IoT 네트워크 센서 또는 Defender for IoT 마이크로 에이전트가 주의가 필요한 네트워크 트래픽의 변경 내용 또는 의심스러운 활동을 탐지할 때 트리거됩니다.
Enterprise IoT 센서에 의해 트리거된 특정 경고는 현재 공개 미리 보기로 유지됩니다.
자세한 내용은 다음을 참조하세요.
2023년 1월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | 센서 버전 22.3.4: OT 센서에 표시되는 Azure 연결 상태 센서 버전 22.2.3: Azure Portal에서 센서 소프트웨어 업데이트 |
Azure Portal 센서 소프트웨어 업데이트(공개 미리 보기)
클라우드 연결 센서 버전 22.2.3 이상의 경우 이제 Azure Portal 새 사이트 및 센서 페이지에서 센서 소프트웨어를 직접 업데이트할 수 있습니다.
자세한 내용은 Azure Portal에서 센서 업데이트를 참조하세요.
OT 센서에 표시되는 Azure 연결 상태
이제 Azure 연결 상태 대한 세부 정보가 OT 네트워크 센서의 개요 페이지에 표시되며, 센서의 Azure 연결이 끊어지면 오류가 표시됩니다.
예시:
자세한 내용은 개별 센서 관리 및 Defender for IoT에 OT 센서 온보딩을 참조하세요.
2022년 12월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | OT 플랜에 대한 새로운 구매 환경 |
| Enterprise IoT 네트워크 | Enterprise IoT 센서 경고 및 권장 사항(공개 미리 보기) |
Enterprise IoT 센서 경고 및 권장 사항(공개 미리 보기)
이제 Azure Portal은 Enterprise IoT 네트워크 센서에서 검색한 트래픽에 대해 다음과 같은 추가 보안 데이터를 제공합니다.
| 데이터 형식 | 설명 |
|---|---|
| 경고 | 이제 Enterprise IoT 네트워크 센서가 다음 경고를 트리거합니다. - 알려진 악성 IP에 연결 시도 - 악의적인 도메인 이름 요청 |
| 권장 사항 | Enterprise IoT 네트워크 센서는 이제 검색된 디바이스에 대해 다음과 같은 권장 사항을 관련으로 트리거합니다. 안전하지 않은 관리 프로토콜 사용 안 함 |
자세한 내용은 다음을 참조하세요.
- 맬웨어 엔진 경고
- Azure Portal에서 경고 보기 및 관리
- 보안 권장 사항으로 보안 태세 강화
- Enterprise IoT 네트워크 센서를 사용하여 Enterprise IoT 디바이스 검색(공개 미리 보기)
OT 플랜에 대한 새로운 구매 환경
이제 Azure Portal에서 플랜 및 가격 책정 페이지에 OT 네트워크에 대한 Defender for IoT 플랜에 대한 새로운 향상된 구매 환경이 포함되어 있습니다. 예를 들어 평가판에서 월별 또는 연간 약정으로 플랜을 변경하거나 디바이스 또는 사이트 수를 업데이트하는 등 Azure Portal OT 플랜을 편집합니다.
자세한 내용은 Azure 구독에서 OT 플랜 관리를 참조하세요.
2022년 11월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | - 센서 버전 22.x 이상: Azure Portal에서 사이트 기반 액세스 제어(공개 미리 보기) - 모든 OT 센서 버전: 새 OT 모니터링 소프트웨어 릴리스 정보 |
Azure Portal의 사이트 기반 액세스 제어(공개 미리 보기)
센서 소프트웨어 버전 22.x의 경우 Defender for IoT는 이제 사이트 기반 액세스 제어를 지원하므로 고객은 사이트 수준에서 Azure Portal Defender for IoT 기능에 대한 사용자 액세스를 제어할 수 있습니다.
예를 들어 보안 읽기 권한자, 보안 관리, 기여자 또는 소유자 역할을 적용하여 경고, 디바이스 인벤토리 또는 통합 문서 페이지와 같은 Azure 리소스에 대한 사용자 액세스를 확인합니다.
사이트 기반 액세스 제어를 관리하려면 사이트 및 센서 페이지에서 사이트를 선택한 다음, 사이트 액세스 제어 관리(미리 보기) 링크를 선택합니다. 예시:
자세한 내용은 Azure Portal에서 OT 모니터링 사용자 관리 및 OT 및 Enterprise IoT 모니터링을 위한 Azure 사용자 역할을 참조하세요.
참고 항목
사이트 및 사이트 기반 액세스 제어는 OT 네트워크 모니터링에만 관련이 있습니다.
새 OT 모니터링 소프트웨어 릴리스 정보
이제 Defender for IoT 설명서에는 버전 지원 모델 및 업데이트 권장 사항에 대한 세부 정보와 함께 OT 모니터링 소프트웨어 전용의 새 릴리스 정보 페이지가 있습니다.
OT 및 Enterprise IoT 네트워크 모두에 대한 새로운 기능과 향상된 기능으로 이 문서 기본 새로운 기능 페이지를 계속 업데이트합니다. 나열된 새 항목에는 온-프레미스 및 클라우드 기능이 모두 포함되며 매월 나열됩니다.
반면, 새 OT 모니터링 소프트웨어 릴리스 정보에는 온-프레미스 소프트웨어를 업데이트해야 하는 OT 네트워크 모니터링 업데이트만 나열됩니다. 항목은 버전, 날짜, 범위 집계된 테이블과 함께 주요 및 패치 버전별로 나열됩니다.
자세한 내용은 OT 모니터링 소프트웨어 릴리스 정보를 참조하세요.
2022년 10월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | 향상된 OT 모니터링 경고 참조 |
향상된 OT 모니터링 경고 참조
이제 경고 참조 문서에는 각 경고에 대한 다음 세부 정보가 포함됩니다.
경고 범주 - 특정 작업에 의해 집계된 경고를 조사하거나 특정 작업에 따라 인시던트를 생성하도록 SIEM 규칙을 구성하려는 경우에 유용합니다.
경고 임계값 - 관련 경고에 해당합니다. 임계값은 경고가 트리거되는 특정 지점을 나타냅니다. cyberx 사용자는 센서의 지원 페이지에서 필요에 따라 경고 임계값을 수정합니다.
자세한 내용은 OT 모니터링 경고 유형 및 설명 및 지원되는 경고 범주를 참조하세요.
2022년 9월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | 지원되는 모든 OT 센서 소프트웨어 버전: - Azure Portal의 디바이스 취약성 - OT 네트워크에 대한 보안 권장 사항 모든 OT 센서 소프트웨어 버전 22.x: Azure 클라우드 연결 방화벽 규칙에 대한 업데이트 센서 소프트웨어 버전 22.2.7: - 버그 수정 및 안정성 개선 센서 소프트웨어 버전 22.2.6: - 버그 수정 및 안정성 개선 - 디바이스 유형 분류 알고리즘의 향상된 기능 Microsoft Sentinel 통합 : - IoT 디바이스 엔터티를 사용한 향상된 조사 기능 - Microsoft Defender for IoT 솔루션에 대한 업데이트 |
OT 네트워크에 대한 보안 권장 사항(퍼블릭 미리 보기)
이제 Defender for IoT는 고객이 OT/IoT 네트워크 보안 태세를 관리하는 데 도움이 되는 보안 권장 사항을 제공합니다. Defender for IoT 권장 사항은 사용자가 OT/IoT 네트워크의 고유한 문제를 해결하는 실행 가능하고 우선 순위가 지정된 임시 조치 플랜을 작성하는 데 도움이 됩니다. 네트워크의 위험 및 공격 노출 영역을 줄이기 위해 권장 사항을 사용합니다.
네트워크에서 검색된 디바이스에 대한 다음 보안 권장 사항을 Azure Portal에서 확인할 수 있습니다.
PLC 운영 모드를 검토합니다. 이 권장 사항이 있는 디바이스는 PLC가 안전하지 않은 운영 모드 상태로 설정된 상태에서 찾을 수 있습니다. 악성 PLC 프로그래밍의 위협을 줄이기 위해 PLC에 더 이상 액세스할 필요가 없는 경우 PLC 운영 모드를 보안 실행 상태로 설정하는 것이 좋습니다.
권한 없는 디바이스를 검토합니다. 이 권장 사항이 있는 디바이스는 네트워크 기준의 일부로 식별하고 권한을 부여해야 합니다. 표시된 디바이스를 식별하기 위한 조치를 취하는 것이 좋습니다. 조사 후에도 알 수 없는 상태로 남아 있는 네트워크에서 디바이스의 연결을 끊어 악의적이거나 잠재적으로 악의적인 디바이스의 위협을 줄입니다.
다음 위치 중 하나에서 보안 권장 사항에 액세스합니다.
권장 사항 페이지 - 검색된 모든 OT 디바이스에서 현재 권장 사항을 모두 표시합니다.
디바이스 세부 정보 페이지의 권장 사항 탭 - 선택한 디바이스에 대한 현재 권장 사항을 모두 표시합니다.
어느 위치에서든 권장 사항을 선택하여 선택한 권장 사항에 따라 현재 정상 또는 비정상 상태인 모든 검색된 OT 디바이스의 목록을 추가로 드릴다운하고 확인합니다. 비정상 디바이스 또는 정상 디바이스 탭에서 디바이스 링크를 선택하여 선택한 디바이스 세부 정보 페이지로 이동합니다. 예시:
자세한 내용은 디바이스 인벤토리 보기 및 보안 권장 사항을 사용하여 보안 상태 향상을 참조하세요.
Azure Portal의 디바이스 취약성(퍼블릭 미리 보기)
이제 Defender for IoT는 검색된 OT 네트워크 디바이스에 대한 취약성 데이터를 Azure Portal에서 제공합니다. 취약성 데이터는 미국 정부 NVD(National Vulnerability Database)에 문서화된 표준 기반 취약성 데이터의 리포지토리를 기반으로 합니다.
Azure Portal의 다음 위치에서 취약성 데이터에 액세스합니다.
디바이스 세부 정보 페이지에서 취약성 탭을 선택하여 선택한 디바이스에서 현재 취약성을 확인합니다. 예를 들어, 디바이스 인벤토리 페이지에서 특정 디바이스를 선택한 다음, 취약성을 선택합니다.
자세한 내용은 디바이스 인벤토리 보기를 참조하세요.
새 취약성 통합 문서는 모든 모니터링되는 OT 디바이스에서 취약성 데이터를 표시합니다. 취약성 통합 문서를 사용하여 심각도 또는 공급업체별 CVE 같은 데이터와 검색된 취약성 및 취약한 디바이스/구성 요소의 전체 목록을 확인합니다.
디바이스 취약성, 취약한 디바이스 또는 취약한 구성 요소 테이블에서 항목을 선택하여 오른쪽 테이블의 관련 정보를 봅니다.
예시:
자세한 내용은 IoT용 Microsoft Defender에서 Azure Monitor 통합 문서 사용을 참조하세요.
Azure 클라우드 연결 방화벽 규칙에 대한 업데이트(퍼블릭 미리 보기)
OT 네트워크 센서는 Azure에 연결하여 경고 및 디바이스 데이터와 센서 상태 메시지를 제공하고 위협 인텔리전스 패키지 등에 액세스합니다. 연결된 Azure 서비스에는 IoT Hub, Blob Storage, Event Hubs 및 Microsoft 다운로드 센터가 포함됩니다.
소프트웨어 버전이 22.x 이상인 OT 센서의 경우 이제 Defender for IoT는 Azure 연결에 대한 아웃바운드 허용 규칙을 추가할 때 강화된 보안을 지원합니다. 이제 와일드카드를 사용하지 않고도 Azure에 연결하기 위한 아웃바운드 허용 규칙을 정의할 수 있습니다.
Azure에 연결하기 위한 아웃바운드 허용 규칙을 정의할 때는 포트 443에서 필요한 각 엔드포인트에 대한 HTTPS 트래픽을 사용하도록 설정해야 합니다. 아웃바운드 허용 규칙은 동일한 구독에 온보딩된 모든 OT 센서에 대해 한 번 정의됩니다.
지원되는 센서 버전의 경우 Azure Portal의 다음 위치에서 필요한 보안 엔드포인트의 전체 목록을 다운로드합니다.
성공적인 센서 등록 페이지: 새 OT 센서 버전 22.x를 온보딩한 후 성공적인 등록 페이지에서는 이제 네트워크에서 보안 아웃바운드 허용 규칙으로 추가해야 하는 엔드포인트의 링크를 포함하여 다음 단계에 대한 지침을 제공합니다. 엔드포인트 세부 정보 다운로드 링크를 선택하여 JSON 파일을 다운로드합니다.
예시:
사이트 및 센서 페이지: 소프트웨어 버전이 22.x 이상인 OT 센서 또는 하나 이상의 지원되는 센서 버전이 있는 사이트를 선택합니다. 그런 다음, 추가 작업>엔드포인트 세부 정보 다운로드를 선택하여 JSON 파일을 다운로드합니다. 예시:
자세한 내용은 다음을 참조하세요.
Microsoft Sentinel에서 IoT 디바이스 엔터티를 사용하여 향상된 조사 기능
Defender for IoT와 Microsoft Sentinel의 통합은 이제 IoT 디바이스 엔터티 페이지를 지원합니다. Microsoft Sentinel에서 인시던트를 조사하고 IoT 보안을 모니터링할 때 이제 가장 중요한 디바이스를 식별하고 각 디바이스 엔터티 페이지에서 자세한 정보로 바로 이동할 수 있습니다.
IoT 디바이스 엔터티 페이지는 기본 디바이스 세부 정보 및 디바이스 소유자 연락처 정보와 함께 IoT 디바이스에 대한 컨텍스트 디바이스 정보를 제공합니다. 디바이스 소유자는 Defender for IoT의 사이트 및 센서 페이지에서 사이트별로 정의됩니다.
IoT 디바이스 엔터티 페이지에서는 각 경고의 사이트, 영역 및 센서에 따라 디바이스 중요도 및 비즈니스 영향을 기준으로 수정의 우선 순위를 지정할 수 있습니다. 예시:
이제 Microsoft Sentinel 엔터티 동작 페이지에서 취약한 디바이스를 헌팅할 수도 있습니다. 예를 들어, 경고 수가 가장 많은 상위 5개 IoT 디바이스를 확인하거나 IP 주소 또는 디바이스 이름으로 디바이스를 검색합니다.
자세한 내용은 IoT 디바이스 엔터티를 사용하여 추가 조사 및 Azure Portal의 사이트 관리 옵션을 참조하세요.
Microsoft Sentinel의 콘텐츠 허브에서 Microsoft Defender for IoT 솔루션에 대한 업데이트
이번 달에는 이전에 Defender for IoT 솔루션을 사용하여 IoT/OT 위협 모니터링으로 알려진 Microsoft Defender for IoT 솔루션 버전 2.0을 Microsoft Sentinel 콘텐츠 허브에서 릴리스했습니다.
이 솔루션 버전의 업데이트 다음과 같습니다.
이름 변경. 이전에 Microsoft Sentinel 작업 영역에 Defender for IoT를 사용하여 IoT/OT 위협 모니터링 솔루션을 설치한 경우 솔루션을 업데이트하지 않더라도 솔루션 이름이 Microsoft Defender for IoT로 자동으로 변경됩니다.
통합 문서 개선 사항: 이제 Defender for IoT 통합 문서에는 다음이 포함됩니다.
디바이스 인벤토리, 위협 탐지 및 보안 태세에 대한 주요 메트릭이 있는 새로운 개요 대시보드. 예시:
네트워크에 표시된 CVE 및 관련 취약한 디바이스에 대한 세부 정보가 포함된 새로운 취약성 대시보드. 예시:
디바이스 권장 사항, 취약성 및 Defender for IoT 디바이스 세부 정보 페이지의 직접 링크에 대한 액세스를 포함한 디바이스 인벤토리 대시보드의 향상된 기능. Defender for IoT를 사용하여 IoT/OT 위협 모니터링 통합 문서의 디바이스 인벤토리 대시보드는 완전히 Defender for IoT 디바이스 인벤토리 데이터에 맞게 조정됩니다.
플레이북 업데이트: Microsoft Defender for IoT 솔루션은 이제 새 플레이북을 사용하여 다음과 같은 SOC 자동화 기능을 지원합니다.
CVE 세부 정보를 사용한 자동화: AD4IoT-CVEAutoWorkflow 플레이북을 사용하여 Defender for IoT 데이터를 기반으로 관련 디바이스의 CVE를 사용하여 인시던트 주석을 보강합니다. 인시던트가 심사되며 CVE가 중요한 경우 자산 소유자는 메일로 인시던트에 대한 알림을 받습니다.
디바이스 소유자에게 메일 알림을 보내기 위한 자동화. AD4IoT-SendEmailtoIoTOwner 플레이북을 사용하여 새 인시던트에 대한 알림 메일을 디바이스 소유자에게 자동으로 보냅니다. 그런 다음, 디바이스 소유자는 메일에 회신하여 필요에 따라 인시던트를 업데이트할 수 있습니다. 디바이스 소유자는 Defender for IoT의 사이트 수준에서 정의됩니다.
중요한 디바이스를 사용하는 인시던트에 대한 자동화: AD4IoT-AutoTriageIncident 플레이북을 사용하여 인시던트와 관련된 디바이스 및 조직에 대한 디바이스의 민감도 수준 또는 중요도에 따라 인시던트의 심각도를 자동으로 업데이트합니다. 예를 들어, 중요한 디바이스와 관련된 모든 인시던트는 더 높은 심각도 수준으로 자동으로 에스컬레이션될 수 있습니다.
자세한 내용은 Microsoft Sentinel을 사용하여 Microsoft Defender for IoT 인시던트 조사를 참조하세요.
2022년 8월
| 서비스 영역 | 업데이트 |
|---|---|
| OT 네트워크 | 센서 소프트웨어 버전 22.2.5: 안정성이 향상된 부 버전 센서 소프트웨어 버전 22.2.4: 타임스탬프 데이터가 있는 새 경고 열 센서 소프트웨어 버전 22.1.3: Azure Portal의 센서 상태(공개 미리 보기) |
타임스탬프 데이터가 있는 새 경고 열
OT 센서 버전 22.2.4부터 Azure Portal 및 센서 콘솔의 Defender for IoT 경고는 이제 다음 열과 데이터를 표시합니다.
마지막 검색. 경고가 네트워크에서 마지막으로 검색된 시간을 정의하고 검색 시간 열을 바꿉니다.
첫 번째 검색. 네트워크에서 경고가 처음 검색된 시간을 정의합니다.
마지막 작업. 심각도 또는 상태에 대한 수동 업데이트 또는 디바이스 업데이트 또는 디바이스/경고 중복 제거에 대한 자동화된 변경 내용을 포함하여 경고가 마지막으로 변경된 시간을 정의합니다.
첫 번째 검색 및 마지막 작업 열은 기본적으로 표시되지 않습니다. 필요에 따라 경고 페이지에 추가합니다.
팁
또한 Microsoft Sentinel 사용자인 경우 Log Analytics 쿼리의 유사한 데이터를 잘 알고 있을 것입니다. Defender for IoT의 새 경고 열은 다음과 같이 매핑됩니다.
- Defender for IoT 마지막 검색 시간은 Log Analytics EndTime과 유사합니다.
- Defender for IoT 첫 번째 검색 시간은 Log Analytics StartTime과 유사합니다.
- Defender for IoT 마지막 작업 시간은 Log Analytics TimeGenerated 와 유사합니다. 자세한 내용은 다음을 참조하세요.
Azure Portal의 센서 상태(공개 미리 보기)
OT 센서 버전 22.1.3 이상의 경우 새 센서 상태 위젯 및 테이블 열 데이터를 사용하여 Azure Portal의 사이트 및 센서 페이지에서 직접 센서 상태를 모니터링할 수 있습니다.
Azure Portal에서 특정 센서로 드릴다운하는 센서 세부 정보 페이지도 추가되었습니다. 사이트 및 센서 페이지에서 특정 센서 이름을 선택합니다. 센서 세부 정보 페이지에는 기본 센서 데이터, 센서 상태 및 적용된 모든 센서 설정이 나열됩니다.
자세한 내용은 센서 상태 이해 및 센서 상태 메시지 참조를 참조하세요.
2022년 7월
| 서비스 영역 | 업데이트 |
|---|---|
| Enterprise IoT 네트워크 | - GA의 Enterprise IoT 및 엔드포인트용 Defender 통합 |
| OT 네트워크 | 센서 소프트웨어 버전 22.2.4: - 디바이스 인벤토리 개선 사항 - ServiceNow 통합 API의 개선 사항 센서 소프트웨어 버전 22.2.3: - OT 어플라이언스 하드웨어 프로필 업데이트 - Azure Portal에서 PCAP 액세스 - 센서와 Azure Portal 간의 양방향 경고 동기화 - 인증서 회전 후 복원된 센서 연결 - 진단 로그 개선 사항 지원 - 브라우저 탭에 표시된 센서 이름 센서 소프트웨어 버전 22.1.7: - cyberx_host 및 cyberx 사용자의 같은 암호 |
| 클라우드 전용 기능 | - IoT용 Defender 경고와 Microsoft Sentinel 인시던트 동기화 |
GA의 Enterprise IoT 및 엔드포인트용 Defender 통합
엔드포인트용 Microsoft Defender와 Enterprise IoT 통합은 이제 GA(일반 공급)로 제공됩니다. 이 업데이트에는 다음과 같은 업데이트와 개선 사항이 있습니다.
엔드포인트용 Defender에서 직접 Enterprise IoT 플랜을 온보딩합니다. 자세한 내용은 구독 관리 및 엔드포인트용 Defender 문서를 참조하세요.
Microsoft 365 보안 포털에서 검색된 Enterprise IoT 디바이스, 관련 경고, 취약성 및 권장 사항을 볼 수 있도록 엔드포인트용 Microsoft Defender와 원활하게 통합합니다. 자세한 내용은 Enterprise IoT 자습서 및 엔드포인트용 Defender 문서를 참조하세요. Azure Portal의 Defender for IoT 디바이스 인벤토리 페이지에서 검색된 Enterprise IoT 디바이스를 계속 볼 수 있습니다.
이제 모든 Enterprise IoT 센서가 Enterprise 네트워크라는 IoT용 Defender의 동일한 사이트에 자동으로 추가됩니다. 새 Enterprise IoT 디바이스를 온보딩하는 경우 사이트나 영역을 정의하지 않고 센서 이름을 정의하고 구독을 선택하기만 하면 됩니다.
참고 항목
Enterprise IoT 네트워크 센서와 모든 검색은 공개 미리 보기로 유지됩니다.
cyberx_host 및 cyberx 사용자의 같은 암호
OT 모니터링 소프트웨어 설치 및 업데이트 중에 cyberx 사용자에게 임의 암호가 할당됩니다. 버전 10.x.x에서 버전 22.1.7로 업데이트하는 경우 cyberx_host 암호는 cyberx 사용자에게 동일한 암호로 할당됩니다.
자세한 내용은 OT 에이전트 없는 모니터링 소프트웨어 설치 및 Defender for IoT OT 모니터링 소프트웨어 업데이트를 참조하세요.
디바이스 인벤토리 개선 사항
OT 센서 버전 22.2.4부터 센서 콘솔의 디바이스 인벤토리 페이지에서 다음 작업을 수행할 수 있습니다.
중복 디바이스를 병합합니다. 센서에서 고유한 단일 디바이스와 연결된 별도의 네트워크 엔터티를 검색한 경우 디바이스를 병합해야 할 수 있습니다. 이 시나리오의 예로는 4개의 네트워크 카드가 있는 PLC, WiFi와 실제 네트워크 카드가 모두 있는 랩톱 또는 여러 네트워크 카드가 있는 단일 워크스테이션이 포함될 수 있습니다.
단일 디바이스를 삭제합니다. 이제 최소 10분 이상 통신하지 않은 단일 디바이스를 삭제할 수 있습니다.
관리 사용자가 비활성 디바이스를 삭제합니다. 이제 cyberx 사용자 외에도 모든 관리자 사용자가 비활성 디바이스를 삭제할 수 있습니다.
또한 버전 22.2.4부터 센서 콘솔에 있는 디바이스 인벤토리 페이지의 디바이스 세부 정보 창에서 마지막 확인 값이 마지막 작업으로 바뀝니다. 예시:
자세한 내용은 센서 콘솔에서 OT 디바이스 인벤토리 관리를 참조하세요.
ServiceNow 통합 API의 개선 사항
OT 센서 버전 22.2.4는 지정된 디바이스에서 발견된 CVE에 대한 세부 정보를 가져오는 devicecves API의 개선 사항을 제공합니다.
이제 쿼리에 다음 매개 변수를 추가하여 결과를 미세 조정할 수 있습니다.
- "sensorId" - 지정된 센서 ID에 정의된 특정 센서의 결과를 표시합니다.
- "score" - 검색할 최소 CVE 점수를 결정합니다. 모든 결과의 CVE 점수는 지정된 값과 같거나 높습니다. 기본값 = 0.
- "deviceIds" - 결과를 표시할 디바이스 ID의 쉼표로 구분된 목록입니다. 예를 들면 1232,34,2,456입니다.
자세한 내용은 온-프레미스 관리 콘솔에 대한 통합 API 참조(퍼블릭 미리 보기)를 참조하세요.
OT 어플라이언스 하드웨어 프로필 업데이트
투명성과 명확성이 향상될 수 있도록 OT 어플라이언스 하드웨어 프로필의 명명 규칙을 새로 고쳤습니다.
새 이름은 회사, 엔터프라이즈 및 프로덕션 라인을 포함한 프로필 형식과 관련 디스크 스토리지 크기를 모두 반영합니다.
다음 표를 사용하여 레거시 하드웨어 프로필 이름과 업데이트된 소프트웨어 설치에 사용된 현재 이름 간의 매핑을 이해합니다.
| 레거시 이름 | 새 이름 | 설명 |
|---|---|---|
| 회사 | C5600 | 다음을 사용하는 회사 환경: 16개 코어 32GB RAM 5.6TB 디스크 스토리지 |
| 엔터프라이즈 | E1800 | 다음을 사용하는 엔터프라이즈 환경: 8코어 32GB RAM 1.8TB 디스크 스토리지 |
| SMB | L500 | 다음을 사용하는 프로덕션 라인 환경: 4코어 8GB RAM 500GB 디스크 스토리지 |
| Office | L100 | 다음을 사용하는 프로덕션 라인 환경: 4코어 8GB RAM 100GB 디스크 스토리지 |
| 러기드 | L64 | 다음을 사용하는 프로덕션 라인 환경: 4코어 8GB RAM 64GB 디스크 스토리지 |
이제 500GB 및 1TB 디스크 크기를 모두 지원하는 센서에 새로운 엔터프라이즈 하드웨어 프로필도 지원합니다.
자세한 내용은 필요한 어플라이언스를 참조하세요.
Azure Portal에서 PCAP 액세스(공개 미리 보기)
이제 Azure Portal에서 패킷 캡처 파일이나 PCAP 파일이라고 하는 원시 트래픽 파일에 직접 액세스할 수 있습니다. 이 기능은 각 센서에 개별적으로 액세스할 필요 없이 IoT용 Defender 또는 Microsoft Sentinel의 경고를 조사하려는 SOC 또는 OT 보안 엔지니어를 지원합니다.
PCAP 파일은 Azure Storage에 다운로드됩니다.
자세한 내용은 Azure Portal에서 경고 보기 및 관리를 참조하세요.
센서와 Azure Portal 간의 양방향 경고 동기화(공개 미리 보기)
버전 22.2.1로 업데이트한 센서의 경우 경고 상태와 학습 상태가 이제 센서 콘솔과 Azure Portal 간에 완전히 동기화됩니다. 예를 들어 Azure Portal 또는 센서 콘솔에서 경고를 닫을 수 있으며 경고 상태가 두 위치 모두에서 업데이트됩니다.
다음에 같은 네트워크 트래픽이 검색될 때 다시 트리거되지 않도록 Azure Portal 또는 센서 콘솔의 경고를 알아봅니다.
또한 센서 콘솔은 온-프레미스 관리 콘솔과 동기화되므로 관리 인터페이스 전체에서 경고 상태와 학습 상태가 최신 상태로 유지됩니다.
자세한 내용은 다음을 참조하세요.
인증서 회전 후 복원된 센서 연결
버전 22.2.3부터 인증서를 교체하면 센서 연결이 자동으로 온-프레미스 관리 콘솔로 복원되며 수동으로 다시 연결할 필요가 없습니다.
자세한 내용은 OT 어플라이언스에 대한 SSL/TLS 인증서 만들기 및 SSL/TLS 인증서 관리를 참조하세요.
진단 로그 개선 사항 지원(공개 미리 보기)
센서 버전 22.1.1부터 티켓을 열 때 고객 지원팀에 보낼 진단 로그를 센서 콘솔에서 다운로드할 수 있었습니다.
이제 로컬로 관리되는 센서의 경우 해당 진단 로그를 Azure Portal에서 직접 업로드할 수 있습니다.
팁
센서 버전 22.1.3부터 클라우드 연결 센서의 경우 티켓을 열 때 진단 로그를 자동으로 기술 지원팀에 보낼 수 있습니다.
자세한 내용은 다음을 참조하세요.
브라우저 탭에 표시된 센서 이름
센서 버전 22.2.3부터는 브라우저 탭에 센서 이름이 표시되므로 작업 중인 센서를 더욱 쉽게 식별할 수 있습니다.
예시:
자세한 내용은 개별 센서 관리를 참조하세요.
IoT용 Defender 경고와 Microsoft Sentinel 인시던트 동기화
이제 IoT용 Defender를 사용하여 IoT OT 위협 모니터링 솔루션을 통해 IoT용 Defender 경고가 Microsoft Sentinel의 관련 인시던트 상태 변경 사항과 함께 업데이트됩니다.
이 동기화는 Azure Portal 또는 센서 콘솔에서 IoT용 Defender에 정의된 모든 상태를 재정의하므로 경고 상태가 관련 인시던트의 상태와 일치합니다.
IoT용 Defender를 사용하여 IoT OT 위협 모니터링 솔루션을 업데이트하여 새 AD4IoT-AutoAlertStatusSync 플레이북을 포함한 최신 동기화 지원을 사용합니다. 솔루션을 업데이트한 후 새 플레이북이 예상대로 작동하는지 확인하는 데 필요한 단계도 수행해야 합니다.
자세한 내용은 다음을 참조하세요.
2022년 6월
센서 소프트웨어 버전 22.1.6: 내부 센서 구성 요소의 유지 관리 업데이트가 포함된 부 버전
센서 소프트웨어 버전 22.1.5: TI 설치 패키지와 소프트웨어 업데이트를 개선하는 부 버전
최근에 다음과 같이 문서를 최적화하고 개선했습니다.
OT 환경에 대한 어플라이언스 카탈로그를 업데이트함
OT 환경을 모니터링하기 위해 지원되는 어플라이언스의 카탈로그를 새로 고치고 개선했습니다. 이러한 어플라이언스는 모든 크기의 환경에 대해 유연한 배포 옵션을 지원하며 OT 모니터링 센서와 온-프레미스 관리 콘솔을 모두 호스트하는 데 사용할 수 있습니다.
다음과 같이 새 페이지를 사용합니다.
조직의 요구 사항에 가장 적합한 하드웨어 모델을 이해합니다. 자세한 내용은 필요한 어플라이언스를 참조하세요.
구매할 수 있는 미리 구성된 하드웨어 어플라이언스 또는 가상 머신에 대한 시스템 요구 사항을 알아봅니다. 자세한 내용은 OT 모니터링을 위해 미리 구성된 물리적 어플라이언스 및 가상 어플라이언스로 OT 모니터링을 참조하세요.
각 어플라이언스 유형에 대한 자세한 내용은 연결된 참조 페이지를 사용하거나 새 참조 > OT 모니터링 어플라이언스 섹션을 살펴봅니다.
가상 어플라이언스를 비롯한 각 어플라이언스 유형에 대한 참조 문서에는 IoT용 Defender를 사용하여 OT 모니터링을 위해 어플라이언스를 구성하는 특정 단계가 포함되어 있습니다. 일반 소프트웨어 설치 및 문제 해결 절차는 IoT용 Defender 소프트웨어 설치에 설명되어 있습니다.
최종 사용자 조직을 위한 설명서 재구성
최근에 최종 사용자 조직을 위한 IoT용 Defender 설명서를 재구성하고 온보딩 및 시작에 대한 보다 명확한 경로를 강조 표시했습니다.
디바이스 및 자산 보기, 경고, 취약성 및 위협 관리, 다른 서비스와 통합, IoT용 Defender 시스템 배포 및 유지 관리를 통해 따라야 하는 새로운 구조를 확인하세요.
새로운 또는 업데이트된 문서:
- 조직을 위한 Microsoft Defender for IoT 시작
- Microsoft Defender for IoT 아키텍처
- 빠른 시작: Defender for IoT 시작
- 자습서: Microsoft Defender for IoT 평가판 설정
- 자습서: Enterprise IoT 시작
참고 항목
GitHub 통해 문서에 대한 피드백을 보내려면 페이지 아래쪽으로 스크롤하여 이 페이지에 대한 피드백 옵션을 선택합니다. 소식을 전해주셔서 감사합니다.
2022년 4월
디바이스 인벤토리의 확장된 디바이스 속성 데이터
센서 소프트웨어 버전: 22.1.4
버전 22.1.4로 업데이트된 센서부터 Azure Portal의 디바이스 인벤토리 페이지에는 다음 필드에 대한 확장 데이터가 표시됩니다.
- 설명
- 태그
- 프로토콜
- 스캐너
- 마지막 작업
자세한 내용은 Azure Portal에서 디바이스 인벤토리 관리를 참조하세요.
2022년 3월
센서 버전: 22.1.3
- IoT용 Microsoft Defender와 함께 Azure Monitor 통합 문서 사용
- IoT용 Defender 솔루션 GA를 사용한 IoT OT 위협 모니터링
- Azure Portal에서 디바이스 편집 및 삭제
- 주요 상태 경고 업데이트
- CLI 세션에서 로그아웃
IoT용 Microsoft Defender와 함께 Azure Monitor 통합 문서 사용(공개 미리 보기)
Azure Monitor 통합 문서는 데이터를 시각적으로 반영하는 그래프와 대시보드를 제공하며, 이제 Azure Resource Graph의 데이터와 함께 IoT용 Microsoft Defender에서 직접 사용할 수 있습니다.
Azure Portal에서 새로운 IoT용 Defender 통합 문서 페이지를 사용하여 Microsoft에서 만들고 기본 제공되는 통합 문서를 보거나 고유한 사용자 지정 통합 문서를 만듭니다.
자세한 내용은 IoT용 Microsoft Defender에서 Azure Monitor 통합 문서 사용을 참조하세요.
IoT용 Defender 솔루션 GA를 사용한 IoT OT 위협 모니터링
Microsoft Sentinel의 IoT용 Defender 솔루션을 사용한 IoT OT 위협 모니터링이 이제 GA입니다. Azure Portal에서 이 솔루션을 사용하면 기존 OT 디바이스를 보호해야 하거나 새로운 OT 혁신에 보안을 빌드해야 하는 경우에 상관없이 전체 OT 환경을 보호할 수 있습니다.
자세한 내용은 엔터프라이즈 SOC의 OT 위협 모니터링 및 자습서: IoT 및 Sentinel용 Defender 통합을 참조하세요.
Azure Portal에서 디바이스 편집 및 삭제(공개 미리 보기)
이제 Azure Portal의 디바이스 인벤토리 페이지에서 보안, 분류, 위치 등과 같은 디바이스 세부 정보를 편집하는 기능을 지원합니다.
자세한 내용은 디바이스 세부 정보 편집을 참조하세요.
디바이스가 14일 이상 비활성화된 경우에만 IoT용 Defender에서 디바이스를 삭제할 수 있습니다. 자세한 내용은 디바이스 삭제를 참조하세요.
주요 상태 경고 업데이트(공개 미리 보기)
IoT용 Defender는 이제 PLC 작동 모드 검색을 위한 Rockwell 프로토콜을 지원합니다.
Rockwell 프로토콜의 경우 이제 Azure Portal과 센서 콘솔의 디바이스 인벤토리 페이지에 PLC 작동 모드 키와 실행 상태, 디바이스가 현재 보안 모드에 있는지 여부가 표시됩니다.
디바이스의 PLC 작동 모드가 프로그램 또는 원격과 같은 비보안 모드로 전환되면 PLC 작동 모드 변경됨 경고가 생성됩니다.
자세한 내용은 조직용 디바이스 인벤토리로 IoT 디바이스 관리를 참조하세요.
CLI 세션에서 로그아웃
이 버전부터 CLI 사용자는 300초 동안 비활성 상태가 되면 세션에서 자동으로 로그아웃됩니다. 수동으로 로그아웃하려면 새 logout CLI 명령을 사용합니다.
자세한 내용은 IoT용 Defender CLI 명령 사용을 참조하세요.
2022년 2월
센서 소프트웨어 버전: 22.1.1
- 새 센서 설치 마법사
- 센서 재디자인 및 통합된 Microsoft 제품 환경
- 향상된 센서 개요 페이지
- 새로운 지원 진단 로그
- 경고 업데이트
- 사용자 지정 경고 업데이트
- CLI 명령 업데이트
- 버전 22.1.x로 업데이트
- 새로운 연결 모델 및 방화벽 요구 사항
- 프로토콜 개선
- 옵션 및 구성 수정, 교체 또는 제거
새 센서 설치 마법사
이전에는 별도의 대화 상자를 사용하여 센서 활성화 파일을 업로드하고, 센서 네트워크 구성을 확인하고, SSL/TLS 인증서를 구성해야 했습니다.
이제 새 센서 또는 새 센서 버전을 설치할 때 설치 마법사가 단일 위치에서 이러한 모든 작업을 수행할 수 있는 간소화된 인터페이스를 제공합니다.
자세한 내용은 Defender for IoT 설치를 참조하세요.
센서 재디자인 및 통합된 Microsoft 제품 환경
IoT용 Defender 센서 콘솔은 통합된 Microsoft Azure 환경을 만들고 워크플로를 향상 및 단순화하도록 재설계되었습니다.
이러한 기능은 이제 GA(일반 공급)입니다. 업데이트에는 일반 모양과 느낌, 드릴다운 창, 검색 및 작업 옵션 등이 포함됩니다. 예시:
단순화된 워크플로에는 다음이 포함됩니다.
이제 디바이스 인벤토리 페이지에 자세한 디바이스 페이지가 포함됩니다. 표에서 디바이스를 선택한 다음 오른쪽에서 전체 세부 정보 보기를 선택합니다.
센서 인벤토리에서 업데이트된 속성은 이제 클라우드 디바이스 인벤토리에서 자동으로 업데이트됩니다.
디바이스 맵 또는 디바이스 인벤토리 페이지에서 액세스하는 디바이스 세부 정보 페이지는 읽기 전용으로 표시됩니다. 디바이스 속성을 편집하려면 왼쪽 하단에서 속성 편집을 선택합니다.
이제 데이터 마이닝 페이지에 보고 기능이 포함됩니다. 보고서 페이지가 제거되었지만 읽기 전용 액세스 권한이 있는 사용자는 보고서 또는 설정을 수정할 수 있는 권한 없이 데이터 마이닝 페이지에서 업데이트를 볼 수 있습니다.
새 보고서를 만드는 관리 사용자의 경우 이제 CM으로 보내기 옵션을 켜서 중앙 관리 콘솔로도 보고서를 보낼 수 있습니다. 자세한 내용은 보고서 만들기를 참조하세요.
시스템 설정 영역은 기본 설정, 네트워크 모니터링 설정, 센서 관리, 통합 및 가져오기 설정에 대한 섹션으로 재구성되었습니다.
이제 센서 온라인 도움말이 IoT용 Microsoft Defender 설명서의 주요 문서에 연결됩니다.
IoT용 Defender 맵에는 이제 다음이 포함됩니다.
이제 새로운 맵 보기가 경고 및 디바이스 세부 정보 페이지에 표시되어 환경에서 경고 또는 디바이스가 있는 위치를 보여 줍니다.
맵에서 디바이스를 마우스 오른쪽 단추로 클릭하면 관련 경고, 이벤트 타임라인 데이터 및 연결된 디바이스를 포함하여 디바이스에 대한 컨텍스트 정보를 볼 수 있습니다.
맵에서 IT 네트워크를 축소하는 기능을 방지하려면 IT 네트워크 그룹 표시 안 함을 선택합니다. 이 옵션은 기본적으로 설정되어 있습니다.
간단한 맵 보기 옵션이 제거되었습니다.
또한 Microsoft 표준을 준수하기 위해 글로벌 준비 및 접근성 기능을 구현했습니다. 온-프레미스 센서 콘솔에서 이러한 업데이트에는 고대비 및 일반 화면 표시 테마와 15개 이상의 언어로 지역화가 포함됩니다.
예시:
화면 오른쪽 상단의 설정 아이콘에서 전역 준비 및 접근성 옵션에 액세스합니다.
향상된 센서 개요 페이지
IoT용 Defender 센서 포털의 대시보드 페이지 이름이 개요로 변경되었으며 이제 시스템 배포 세부 정보, 중요한 네트워크 모니터링 상태, 주요 경고, 중요한 추세 및 통계를 더 잘 강조하는 데이터가 포함됩니다.
개요 페이지는 이제 Azure Portal과 같은 아웃바운드 연결이 중단된 경우 전체 센서 상태를 볼 수 있는 블랙 박스 역할도 합니다.
왼쪽의 분석 메뉴에 있는 추세 및 통계 페이지를 사용하여 더 많은 대시보드를 만듭니다.
새로운 지원 진단 로그
이제 지원 티켓에 추가되는 로그 및 시스템 정보 요약을 얻을 수 있습니다. 백업 및 복원 대화 상자에서 지원 티켓 진단을 선택합니다.
자세한 내용은 지원을 위해 진단 로그 다운로드를 참조하세요.
경고 업데이트
Azure Portal에서:
이제 Azure Portal의 IoT용 Defender에서 경고를 사용할 수 있습니다. 경고를 사용하여 IoT/OT 네트워크의 보안 및 운영을 강화합니다.
새 경고 페이지는 현재 공개 미리 보기로 제공되며 다음을 제공합니다.
- 네트워크 센서에서 검색한 위협에 대한 집계된 실시간 보기입니다.
- 디바이스 및 네트워크 프로세스에 대한 수정 단계.
- Microsoft Sentinel에 경고를 스트리밍하고 SOC 팀의 역량을 강화합니다.
- 처음 검색된 시점부터 90일 동안 스토리지에 경고합니다.
- 원본 및 대상 작업, 경고 심각도 및 상태, MITRE ATT&CK 정보, 경고에 대한 컨텍스트 정보를 조사하는 도구입니다.
예시:
센서 콘솔:
이제 센서 콘솔의 경고 페이지에 Azure의 IoT용 Defender에 대한 클라우드 연결로 구성된 센서에서 검색한 경고에 대한 세부 정보가 표시됩니다. Azure와 온-프레미스 모두에서 경고를 사용하는 사용자는 Azure Portal과 온-프레미스 구성 요소 간에 경고가 관리되는 방식을 이해해야 합니다.
기타 경고 업데이트는 다음과 같습니다.
같은 시간에 발생한 이벤트 또는 연결된 디바이스의 맵과 같은 각 경고에 대한 컨텍스트 데이터에 액세스합니다. 연결된 디바이스의 맵은 센서 콘솔 경고에만 사용할 수 있습니다.
경고 상태가 업데이트되었으며 예를 들어 이제 승인됨 대신 닫힘 상태가 포함됩니다.
처음 검색된 시간으로부터 90일 동안 스토리지에 경고합니다.
바이러스 백신 서명 경고가 있는 백업 작업입니다. 이 새로운 경고는 종종 합법적인 백업 작업인 원본 디바이스와 대상 백업 서버 사이에서 검색된 트래픽에 대해 트리거됩니다. 이러한 작업에 대해 중요하거나 주요 맬웨어 경고가 더 이상 트리거되지 않습니다.
업그레이드 중 현재 보관된 센서 콘솔 경고는 삭제됩니다. 고정된 경고는 더 이상 지원되지 않으므로 관련 센서 콘솔 경고에 대해 핀이 제거됩니다.
자세한 내용은 센서의 경고 보기를 참조하세요.
사용자 지정 경고 업데이트
이제 센서 콘솔의 사용자 지정 경고 규칙 페이지에서 다음을 제공합니다.
사용자 지정 경고 규칙 표의 조회수 정보는 만든 각 규칙에 대해 지난 주에 트리거된 경고 수에 대한 세부 정보를 한 눈에 볼 수 있습니다.
일반 작업 시간 외에 실행되도록 사용자 지정 경고 규칙을 예약하는 기능입니다.
DPI 엔진을 사용하여 프로토콜에서 추출할 수 있는 모든 필드에 대해 경고하는 기능입니다.
사용자 지정 규칙을 만들 때 프로토콜 지원을 완료하고 광범위한 관련 프로토콜 변수를 지원합니다.
자세한 내용은 OT 센서에서 사용자 지정 경고 규칙 만들기를 참조하세요.
CLI 명령 업데이트
Defender for IoT 센서 소프트웨어 설치가 이제 컨테이너화되었습니다. 이제 컨테이너화된 센서를 사용하면 cyberx_host 사용자를 사용하여 다른 컨테이너 또는 운영 체제의 문제를 조사하거나 FTP를 통해 파일을 보낼 수 있습니다.
이 cyberx_host 사용자는 기본적으로 사용 가능하며 호스트 컴퓨터에 연결합니다. 필요한 경우 IoT용 Defender의 사이트 및 센서 페이지에서 cyberx_host 사용자의 암호를 복구합니다.
컨테이너화된 센서의 일부로 다음 CLI 명령이 수정되었습니다.
| 레거시 이름 | 치환 |
|---|---|
cyberx-xsense-reconfigure-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reload-interfaces |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-reconfigure-hostname |
sudo dpkg-reconfigure iot-sensor |
cyberx-xsense-system-remount-disks |
sudo dpkg-reconfigure iot-sensor |
sudo cyberx-xsense-limit-interface-I eth0 -l value CLI 명령이 제거되었습니다. 이 명령은 센서가 일상적인 절차에 사용하는 인터페이스 대역폭을 제한하는 데 사용되었으며 더 이상 지원되지 않습니다.
자세한 내용은 Defender for IoT 설치, Defender for IoT CLI 명령 작업 및 OT 네트워크 센서의 CLI 명령 참조를 참조하세요.
버전 22.1.x로 업데이트
IoT용 Defender의 모든 최신 기능을 사용하려면 센서 소프트웨어 버전을 22.1.x로 업데이트해야 합니다.
레거시 버전을 사용 중인 경우 최신 버전을 사용하려면 일련의 업데이트를 실행해야 할 수 있습니다. 또한 방화벽 규칙을 업데이트하고 새 활성화 파일로 센서를 다시 활성화해야 합니다.
버전 22.1.x로 업그레이드한 후 새 업그레이드 로그는 SSH 및 cyberx_host 사용자를 통해 액세스되는 /opt/sensor/logs/legacy-upgrade.log 경로에서 찾을 수 있습니다.
자세한 내용은 OT 시스템 소프트웨어 업데이트를 참조하세요.
참고 항목
버전 22.1.x로의 업그레이드는 대규모 업데이트이며 업데이트 프로세스에 이전 업데이트보다 더 많은 시간이 필요할 것으로 예상해야 합니다.
새로운 연결 모델 및 방화벽 요구 사항
IoT용 Defender 버전 22.1.x는 간소화된 배포, 개선된 보안, 확장성 및 유연한 연결을 제공하는 새로운 센서 연결 방법 집합을 지원합니다.
마이그레이션 단계 외에도 이 새 연결 모델을 사용하려면 새 방화벽 규칙을 열어야 합니다. 자세한 내용은 다음을 참조하세요.
- 새로운 방화벽 요구 사항: Azure Portal에 대한 센서 액세스.
- 아키텍처: 센서 연결 방법
- 연결 절차: 센서를 IoT용 Microsoft Defender에 연결
프로토콜 개선
이 IoT용 Defender 버전은 다음에 대한 개선된 지원을 제공합니다.
- Profinet DCP
- Honeywell
- Windows 엔드포인트 검색
자세한 내용은 Microsoft Defender for IoT - 지원되는 IoT, OT, ICS 및 SCADA 프로토콜을 참조하세요.
옵션 및 구성 수정, 교체 또는 제거
다음 IoT용 Defender 옵션 및 구성이 이동, 제거 및/또는 교체되었습니다.
이전에 보고서 페이지에 있던 보고서가 이제 데이터 마이닝 페이지에 표시됩니다. 온-프레미스 관리 콘솔에서 직접 데이터 마이닝 정보를 계속 볼 수도 있습니다.
로컬로 관리되는 센서 이름 변경은 이제 센서를 새 이름으로 Azure Portal에 다시 온보딩하는 경우에만 지원됩니다. 센서 이름은 더 이상 센서에서 직접 변경할 수 없습니다. 자세한 내용은 새 활성화 파일 업로드를 참조하세요.