자습서: IoT 디바이스에 대한 위협 조사 및 검색

  • 아티클

Microsoft Defender for IoT 및 Microsoft Sentinel 간의 통합을 통해 SOC 팀은 네트워크 전반의 보안 위협을 효율적이면서 효과적으로 감지하고 대응할 수 있습니다. 분석 규칙, 통합 문서 및 플레이북을 포함하는 Defender for IoT 데이터용으로 특별히 구성된 번들 콘텐츠 집합인 Microsoft Defender for IoT 솔루션으로 보안 기능을 향상시킵니다.

이 자습서에서는 다음을 수행합니다.

  • Microsoft Sentinel 작업 영역에 Microsoft Defender for IoT 솔루션 설치
  • Microsoft Sentinel 인시던트에서 Defender for IoT 경고를 조사하는 방법 알아보기
  • Microsoft Defender for IoT 솔루션을 사용하여 Microsoft Sentinel 작업 영역에 배포된 분석 규칙, 통합 문서 및 플레이북에 대해 알아봅니다.

Important

Microsoft Defender for IoT 솔루션과 마찬가지로 Microsoft Sentinel 콘텐츠 허브 환경도 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

필수 조건

시작하기 전에 다음이 있는지 확인합니다.

IoT용 Defender 솔루션 설치

Microsoft Sentinel 솔루션을 사용하면 단일 프로세스를 사용하여 특정 데이터 커넥터에 대한 Microsoft Sentinel 보안 콘텐츠를 온보딩할 수 있습니다.

Microsoft Defender for IoT 솔루션은 자동화된 응답 및 방지 기능이 있는 기본 제공 및 최적화 플레이북을 제공하여 Defender for IoT 데이터를 MICROSOFT Sentinel의 SOAR(보안 오케스트레이션, 자동화 및 응답) 기능과 통합됩니다.

솔루션을 설치하려면 다음을 수행합니다.

  1. Microsoft Sentinel의 콘텐츠 관리 아래에서 콘텐츠 허브를 선택한 다음, Microsoft Defender for IoT 솔루션을 찾습니다.

  2. 오른쪽 하단에서 세부 정보 보기를 선택한 다음 만들기를 선택합니다. 솔루션을 설치할 구독, 리소스 그룹 및 작업 영역을 선택한 다음 배포할 관련 보안 콘텐츠를 검토합니다.

  3. 완료되면 검토 + 만들기를 선택하여 솔루션을 설치합니다.

자세한 내용은 Microsoft Sentinel 콘텐츠 및 솔루션 정보기본 제공 콘텐츠 및 솔루션을 중앙에서 검색 및 배포를 참조하세요.

Defender for IoT 데이터를 사용하여 즉시 위협 검색

Microsoft Defender for IoT 데이터 커넥터에는 검색된 새 Defender for IoT 경고에 대해 자동으로 새 인시던트를 만드는 Azure Defender for IOT 경고를 기준으로 인시던트 만들기라는 기본 Microsoft 보안 규칙이 포함되어 있습니다.

Microsoft Defender for IoT 솔루션에는 Defender for IoT 데이터용으로 특별히 빌드되고 관련 경고를 위해 Microsoft Sentinel에서 만든 인시던트를 미세 조정하는 보다 자세한 기본 분석 규칙 집합이 포함되어 있습니다.

기본 제공 Defender for IoT 경고를 사용하려면 다음을 수행합니다.

  1. Microsoft Sentinel 분석 페이지에서 경고를 기준으로 인시던트 만들기 규칙을 검색하고 사용하지 않도록 설정합니다. 이 단계에서는 동일한 경고에 대해 Microsoft Sentinel에서 중복 인시던트가 만들어지지 않도록 합니다.

  2. Microsoft Defender for IoT 솔루션과 함께 설치된 다음과 같은 기본 제공 분석 규칙을 검색하고 사용하도록 설정합니다.

    규칙 이름 설명
    ICS/SCADA 트래픽에 대한 잘못된 기능 코드 SCADA(감독 제어 및 데이터 획득) 장비의 잘못된 기능 코드는 다음 중 하나를 나타낼 수 있습니다.

    - 펌웨어 업데이트 또는 재설치로 인한 부적절한 애플리케이션 구성.
    - 악의적 활동입니다. 예를 들어 프로토콜 내에서 잘못된 값을 사용하여 버퍼 오버플로와 같은 PLC(프로그래밍 가능한 논리 컨트롤러)의 취약성을 악용하려는 사이버 위협입니다.
    펌웨어 업데이트 승인되지 않은 펌웨어 업데이트는 PLC 기능을 손상시키기 위해 PLC 펌웨어를 조작하려는 사이버 위협과 같은 네트워크의 악의적인 작업을 나타낼 수 있습니다.
    권한 없는 PLC 변경 PLC 래더 논리 코드에 대한 무단 변경은 다음 중 하나일 수 있습니다.

    - PLC의 새로운 기능 표시.
    - 펌웨어 업데이트 또는 재설치로 인한 애플리케이션의 부적절한 구성.
    - PLC 기능을 손상시키기 위해 PLC 프로그래밍을 조작하려는 사이버 위협과 같은 네트워크에서의 악의적인 작업.
    PLC 안전하지 않은 키 상태 새 모드는 PLC가 안전하지 않음을 나타낼 수 있습니다. PLC를 안전하지 않은 작동 모드로 두면 공격자가 프로그램 다운로드와 같은 악의적인 작업을 수행할 수 있습니다.

    PLC가 손상되면 PLC와 상호 작용하는 디바이스 및 프로세스가 영향을 받을 수 있습니다. 이는 전체 시스템 보안 및 안전에 영향을 미칠 수 있습니다.
    PLC 중지 PLC 중지 명령은 PLC가 작동을 중지하거나 네트워크에서 악의적인 작업을 일으킨 애플리케이션의 부적절한 구성을 나타낼 수 있습니다. 예를 들어 PLC 프로그래밍을 조작하여 네트워크 기능에 영향을 미치려는 사이버 위협이 있습니다.
    네트워크에서 발견된 의심스러운 맬웨어 네트워크에서 발견된 의심스러운 맬웨어는 의심스러운 맬웨어가 프로덕션을 손상시키려고 함을 나타냅니다.
    네트워크에서 여러 검사 네트워크에서 여러 번 검사하면 다음 중 하나가 나타날 수 있습니다.

    - 네트워크의 새 디바이스
    - 기존 디바이스의 새로운 기능
    - 펌웨어 업데이트 또는 재설치로 인한 애플리케이션 구성 오류
    - 정찰을 위한 네트워크상의 악의적인 작업
    인터넷 연결 인터넷 주소와 통신하는 OT 디바이스는 외부 서버에서 업데이트를 다운로드하려는 바이러스 백신 소프트웨어 또는 네트워크의 악의적인 작업과 같은 부적절한 애플리케이션 구성을 나타낼 수 있습니다.
    SCADA 네트워크의 승인되지 않은 디바이스 네트워크의 승인되지 않은 디바이스는 네트워크에 최근에 설치된 합법적인 새 디바이스이거나 SCADA 네트워크를 조작하려는 사이버 위협과 같이 네트워크에서 승인되지 않거나 악의적인 작업을 나타내는 것일 수 있습니다.
    SCADA 네트워크의 승인되지 않은 DHCP 구성 네트워크의 승인되지 않은 DHCP 구성은 네트워크에서 작동하는 승인되지 않은 새 디바이스를 나타낼 수 있습니다.

    이는 최근에 네트워크에 배치된 합법적인 새 디바이스이거나 SCADA 네트워크를 조작하려는 사이버 위협과 같이 네트워크에서 무단 또는 악의적인 작업을 나타내는 것일 수 있습니다.
    과도한 로그인 시도 과도한 로그인 시도는 부적절한 서비스 구성, 인적 오류 또는 SCADA 네트워크를 조작하려는 사이버 위협과 같은 네트워크의 악의적인 작업을 나타낼 수 있습니다.
    네트워크의 고대역폭 비정상적으로 높은 대역폭은 백업과 같은 네트워크의 새로운 서비스/프로세스의 표시이거나 SCADA 네트워크를 조작하려는 사이버 위협과 같은 네트워크의 악의적인 작업의 표시일 수 있습니다.
    서비스 거부 이 경고는 DCS 시스템의 사용 또는 적절한 작동을 방해하는 공격을 검색합니다.
    네트워크에 대한 무단 원격 액세스 네트워크에 대한 무단 원격 액세스는 대상 디바이스를 손상시킬 수 있습니다.

    즉, 네트워크의 다른 디바이스가 손상되면 대상 디바이스에 원격으로 액세스할 수 있어 공격 표면이 늘어납니다.
    센서에서 트래픽이 감지되지 않음 네트워크 트래픽을 더 이상 감지하지 않는 센서는 시스템이 안전하지 않을 수 있음을 나타냅니다.

Defender for IoT 인시던트 조사

Microsoft Sentinel에서 새 인시던트를 트리거하도록 Defender for IoT 데이터를 구성한 후 다른 인시던트와 마찬가지로 Microsoft Sentinel에서 해당 인시던트 조사를 시작합니다.

Microsoft Defender for IoT 인시던트를 조사하려면 다음을 수행합니다.

  1. Microsoft Sentinel에서 인시던트 페이지로 이동합니다.

  2. 인시던트 그리드 위에서 제품 이름 필터를 선택하고 모두 선택 옵션을 선택 취소합니다. 그런 다음, Microsoft Defender for IoT를 선택하여 Defender for IoT 경고에 의해 트리거된 인시던트만 표시합니다. 예시:

    Screenshot of filtering incidents by product name for Defender for IoT devices.

  3. 특정 인시던트를 선택하여 조사를 시작합니다.

    오른쪽의 인시던트 세부 정보 창에서 인시던트 심각도, 관련된 엔터티 요약, 매핑된 MITRE ATT&CK 전술 또는 기술 등과 같은 세부 정보를 봅니다. 예시:

    Screenshot of a Microsoft Defender for IoT incident in Microsoft Sentinel.

  4. 전체 세부 정보 보기를 선택하여 더 자세히 드릴다운할 수 있는 인시던트 세부 정보 페이지를 엽니다. 예시:

    • IoT 디바이스의 사이트, 영역, 센서 이름 및 디바이스 중요도와 같은 세부 정보를 사용하여 인시던트의 비즈니스 영향 및 물리적 위치를 이해합니다.

    • 인시던트 타임라인에서 경고를 선택하고 수정 단계 영역을 확인하여 권장되는 수정 단계에 대해 알아봅니다.

    • 엔터티 목록에서 IoT 디바이스 엔터티를 선택하여 해당 디바이스 엔터티 페이지를 엽니다. 자세한 내용은 IoT 디바이스 엔터티를 사용한 추가 조사를 참조하세요.

자세한 내용은 Microsoft Sentinel로 인시던트 조사를 참조하세요.

Defender for IoT에서 인시던트를 조사하려면 인시던트 페이지의 세부 정보 창 맨 위에 있는 Microsoft Defender for IoT에서 조사 링크를 선택합니다.

IoT 디바이스 엔터티를 사용하여 추가로 조사

Microsoft Sentinel에서 인시던트를 조사하고 인시던트 세부 정보 창이 오른쪽에 열려 있을 때, 엔터티 목록에서 IoT 디바이스 엔터티를 선택하여 선택한 엔터티에 대한 자세한 내용을 확인합니다. IoT 디바이스 아이콘 으로 IoT 디바이스를 식별할 수 있습니다.

IoT 디바이스 엔터티가 바로 표시되지 않으면 전체 세부 정보 보기를 선택하여 전체 인시던트 페이지를 연 다음, 엔티티 탭을 확인합니다. 기본 디바이스 세부 정보, 소유자 연락처 정보 및 디바이스에서 발생한 이벤트의 타임라인과 같은 더 많은 엔터티 데이터를 보려면 IoT 디바이스 엔터티를 선택합니다.

더 자세히 드릴다운 하려면 IoT 디바이스 엔터티 링크를 선택하고 디바이스 엔터티 세부 정보 페이지를 열거나 Microsoft Sentinel 엔터티 동작 페이지에서 취약한 디바이스를 헌팅합니다. 예를 들어, 경고 수가 가장 많은 상위 5개 IoT 디바이스를 확인하거나 IP 주소 또는 디바이스 이름으로 디바이스를 검색합니다.

Screenshot of IoT devices by number of alerts on entity behavior page.

자세한 내용은 Microsoft Sentinel에서 엔터티 페이지가 있는 엔터티 조사Microsoft Sentinel을 사용하여 인시던트 조사를 참조하세요.

Defender for IoT에서 경고 조사

경고 PCAP 데이터에 액세스하는 기능을 포함하여 추가 조사를 위해 Defender for IoT에서 경고를 열려면 인시던트 세부 정보 페이지로 이동하여 Microsoft Defender for IoT에서 조사를 선택합니다. 예시:

Screenshot of the Investigate in Microsoft Defender for IoT option.

Defender for IoT 경고 세부 정보 페이지가 관련 경고에 대해 열립니다. 자세한 내용은 OT 네트워크 경고에 대한 조사 및 대응을 참조하세요.

IoT용 Defender 데이터 시각화 및 모니터링

Defender for IoT 데이터를 시각화하고 모니터링하려면 Microsoft Defender for IoT 솔루션의 일부로 Microsoft Sentinel 작업 영역에 배포된 통합 문서를 사용합니다.

Defender for IoT 통합 문서는 미해결 인시던트, 경고 알림 및 OT 자산에 대한 작업을 기반으로 OT 엔터티에 대한 단계별 조사를 제공합니다. 또한 ICS용 MITRE ATT&CK® 프레임워크 전반에 걸쳐 헌팅 환경을 제공하며 분석가, 보안 엔지니어 및 MSSP가 OT 보안 태세에 대한 상황적 인식을 얻을 수 있도록 설계되었습니다.

Microsoft Sentinel의 위협 관리 > 통합 문서 > 내 통합 문서 탭에서 통합 문서를 봅니다. 자세한 내용은 수집된 데이터 시각화를 참조하세요.

다음 표에서는 Microsoft Defender for IoT 솔루션에 포함된 통합 문서를 설명합니다.

통합 문서 설명 로그
개요 디바이스 인벤토리, 위협 탐지 및 취약성에 대한 주요 메트릭의 요약을 표시하는 대시보드 ARG(Azure Resource Graph)의 데이터 사용
디바이스 인벤토리 OT 디바이스 이름, 유형, IP 주소, Mac 주소, 모델, OS, 일련 번호, 공급업체, 프로토콜, 미해결 경고, CVE 및 디바이스당 권장 사항 등의 데이터를 표시합니다. 사이트, 영역 및 센서별로 필터링할 수 있습니다. ARG(Azure Resource Graph)의 데이터 사용
인시던트 다음과 같은 데이터를 표시합니다.

- 인시던트 메트릭, 최상위 인시던트, 시간 경과에 따른 인시던트, 프로토콜별 인시던트, 디바이스 형식별 인시던트, 공급업체별 인시던트 및 IP 주소별 인시던트.

- 심각도별 인시던트, 인시던트 평균 응답 시간, 인시던트 평균 해결 시간 및 인시던트 종료 이유.		 다음 로그의 데이터를 사용합니다. SecurityAlert
경고 경고 메트릭, 최상위 경고, 시간 경과에 따른 경고, 심각도별 경고, 엔진별 경고, 디바이스 형식별 경고, 공급업체별 경고 및 IP 주소별 경고와 같은 데이터를 표시합니다. ARG(Azure Resource Graph)의 데이터 사용
ICS용 MITRE ATT&CK® 전술 개수, 전술 세부 정보, 시간에 따른 전술, 기술 개수와 같은 데이터를 표시합니다. 다음 로그의 데이터를 사용합니다. SecurityAlert
취약성 취약한 디바이스에 대한 취약성 및 CVE를 표시합니다. 디바이스 사이트 및 CVE 심각도를 기준으로 필터링할 수 있습니다. ARG(Azure Resource Graph)의 데이터 사용

IoT용 Defender 경고에 대한 응답 자동화

플레이북은 Microsoft Sentinel에서 루틴으로 실행할 수 있는 자동화된 수정 작업 컬렉션입니다. 플레이북은 위협 대응을 자동화하고 오케스트레이션하는 데 도움이 될 수 있습니다. 각각 분석 규칙 또는 자동화 규칙에 따라 트리거되는 경우 특정 경고나 인시던트에 대응하여 플레이북을 자동으로 실행되도록 설정하거나 수동으로 실행할 수 있습니다.

Microsoft Defender for IoT 솔루션에는 다음 기능을 제공하는 기본 제공 플레이북이 포함되어 있습니다.

기본 제공 플레이북을 사용하기 전에 아래 나열된 대로 필수 구성 요소 단계를 수행해야 합니다.

자세한 내용은 다음을 참조하세요.

플레이북 필수 구성 요소

기본 제공 플레이북을 사용하기 전에 각 플레이북에 필요한 대로 다음 필수 구성 요소를 수행해야 합니다.

유효한 플레이북 연결 확인

이 절차는 플레이북의 각 연결 단계에 유효한 연결이 있는지와 모든 솔루션 플레이북에 필요한지 확인하는 데 도움이 됩니다.

유효한 연결을 확인하려면 다음을 수행합니다.

  1. Microsoft Sentinel에서 Automation>활성 플레이북에서 플레이북을 엽니다.

  2. 플레이북을 선택하여 논리 앱으로 엽니다.

  3. 플레이북을 논리 앱으로 연 상태에서 논리 앱 디자이너를 선택합니다. 논리 앱의 각 단계를 확장하여 주황색 경고 삼각형으로 표시되는 잘못된 연결을 확인합니다. 예시:

    Screenshot of the default AD4IOT AutoAlertStatusSync playbook.

    Important

    논리 앱의 각 단계를 확장해야 합니다. 잘못된 연결이 다른 단계 내에 숨어 있을 수 있습니다.

  4. 저장을 선택합니다.

구독에 필요한 역할 추가

이 절차에서는 플레이북이 설치된 Azure 구독에 필요한 역할을 추가하는 방법을 설명합니다. 이 절차는 다음 플레이북에만 필요합니다.

필요한 역할은 플레이북마다 다르지만 단계는 동일하게 유지됩니다.

구독에 필요한 역할을 추가하려면 다음을 수행합니다.

  1. Microsoft Sentinel에서 Automation>활성 플레이북에서 플레이북을 엽니다.

  2. 플레이북을 선택하여 논리 앱으로 엽니다.

  3. 플레이북을 논리 앱으로 연 상태에서 ID > 시스템 할당을 선택한 다음 권한 영역에서 Azure 역할 할당 단추를 선택합니다.

  4. Azure 역할 할당 페이지에서 역할 할당 추가를 선택합니다.

  5. 역할 할당 추가 창에서 다음을 수행합니다.

    1. 범위구독으로 정의합니다.

    2. 드롭다운에서 플레이북이 설치된 구독을 선택합니다.

    3. 역할 드롭다운에서 작업 중인 플레이북에 따라 다음 역할 중 하나를 선택합니다.

      플레이북 이름 역할
      AD4IoT-AutoAlertStatusSync 보안 관리자
      AD4IoT-CVEAutoWorkflow 판독기
      AD4IoT-SendEmailtoIoTOwner 판독기
      AD4IoT-AutoTriageIncident 판독기

  6. 완료되면 저장을 선택합니다.

인시던트, 관련 분석 규칙 및 플레이북 연결

이 절차에서는 인시던트 트리거에 따라 플레이북을 자동으로 실행하도록 Microsoft Sentinel 분석 규칙을 구성하는 방법을 설명합니다. 이 절차는 모든 솔루션 플레이북에 필요합니다.

분석 규칙을 추가하려면 다음을 수행합니다.

  1. Microsoft Sentinel에서 Automation>자동화 규칙으로 이동합니다.

  2. 새 자동화 규칙을 만들려면 만들기>자동화 규칙을 선택합니다.

  3. 트리거 필드에서 작업 중인 플레이북에 따라 다음 트리거 중 하나를 선택합니다.

    • AD4IoT-AutoAlertStatusSync 플레이북: 인시던트가 업데이트되는 경우 트리거를 선택합니다.
    • 다른 모든 솔루션 플레이북: 인시던트가 생성되는 경우 트리거를 선택합니다.

  4. 조건 영역에서 조건 > 분석 규칙 이름 > 포함을 선택한 다음 조직의 IoT용 Defender와 관련된 특정 분석 규칙을 선택합니다.

    예시:

    Screenshot of a Defender for IoT alert status sync automation rule.

    기본 분석 규칙을 사용하거나 기본 콘텐츠를 수정했거나 직접 만들 수 있습니다. 자세한 내용은 IoT용 Defender 데이터를 사용하여 즉시 위협 검색를 참조하세요.

  5. 작업 영역에서 플레이북 실행>플레이북 이름을 선택합니다.

  6. 실행을 선택합니다.

요청 시 플레이북을 실행할 수도 있습니다. 이는 오케스트레이션 및 응답 프로세스에 대한 더 많은 제어를 원하는 상황에서 유용할 수 있습니다. 자세한 내용은 주문형 플레이북 실행을 참조하세요.

인시던트 자동 종료

플레이북 이름: AD4IoT-AutoCloseIncidents

경우에 따라 유지 관리 작업은 Microsoft Sentinel에서 경고를 생성하여 SOC 팀이 실제 문제를 처리하는 데 방해가 될 수 있습니다. 이 플레이북은 IoT 디바이스 엔터티 필드를 명시적으로 구문 분석하여 지정된 유지 관리 기간 동안 이러한 경고에서 만들어진 인시던트를 자동으로 닫습니다.

이 플레이북을 사용하려면:

  • 유지 관리가 발생할 것으로 예상되는 관련 기간과 Excel 파일에 나열된 것과 같은 관련 자산의 IP 주소를 입력합니다.
  • 경고가 자동으로 처리되어야 하는 모든 자산 IP 주소를 포함하는 관심 목록을 만듭니다.

프로덕션 라인별로 메일 알림 보내기

플레이북 이름: AD4IoT-MailByProductionLine

이 플레이북은 사용자 환경에서 발생하는 경고 및 이벤트에 대해 특정 이해 관계자에게 알리기 위해 메일을 보냅니다.

예를 들어 특정 제품군이나 지리적 위치에 특정 보안 팀이 할당된 경우 해당 팀이 책임과 관련된 경고를 받기를 원할 것입니다.

이 플레이북을 사용하려면 센서 이름과 경고하려는 각 이해 관계자의 우편 주소를 매핑하는 관심 목록을 만듭니다.

새 ServiceNow 티켓 만들기

플레이북 이름 AD4IoT-NewAssetServiceNowTicket

일반적으로 PLC를 프로그래밍할 수 있는 권한이 있는 엔터티는 엔지니어링 워크스테이션입니다. 따라서 공격자는 악성 PLC 프로그래밍을 만들기 위해 새로운 엔지니어링 워크스테이션을 만들 수 있습니다.

이 플레이북은 새 엔지니어링 워크스테이션이 검색될 때마다 ServiceNow에서 티켓을 열어 IoT 디바이스 엔터티 필드를 명시적으로 구문 분석합니다.

IoT용 Defender에서 경고 상태 업데이트

플레이북 이름: AD4IoT-AutoAlertStatusSync

이 플레이북은 Microsoft Sentinel의 관련 경고에 상태 업데이트가 있을 때마다 IoT용 Defender의 경고 상태를 업데이트합니다.

이 동기화는 Azure Portal 또는 센서 콘솔에서 IoT용 Defender에 정의된 모든 상태를 재정의하므로 경고 상태가 관련 인시던트의 상태와 일치합니다.

활성 CVE를 사용하여 인시던트에 대한 워크플로 자동화

플레이북 이름: AD4IoT-CVEAutoWorkflow

이 플레이북은 영향을 받는 디바이스의 인시던트 주석에 활성 CVE를 추가합니다. CVE가 중요한 경우 자동화된 심사가 수행되고, Defender for IoT의 사이트 수준에 정의된 대로 메일 알림이 디바이스 소유자에게 전송됩니다.

디바이스 소유자를 추가하려면 Defender for IoT의 사이트 및 센서 페이지에서 사이트 소유자를 편집합니다. 자세한 내용은 Azure Portal에서 사이트 관리 옵션을 참조하세요.

IoT/OT 디바이스 소유자에게 메일 보내기

플레이북 이름: AD4IoT-SendEmailtoIoTOwner

이 플레이북은 Defender for IoT의 사이트 수준에서 정의된 대로 인시던트 세부 정보가 포함된 메일을 디바이스 소유자에게 보내, 소유자가 조사를 시작하고 자동화된 메일에서 직접 응답하도록 할 수도 있습니다. 응답 옵션은 다음과 같습니다.

  • 예, 예상된 동작입니다. 인시던트를 닫으려면 이 옵션을 선택합니다.

  • 아니요, 예상된 동작이 아닙니다. 인시던트 활성 상태로 유지하고 심각도를 늘리고 인시던트에 확인 태그를 추가하려면 이 옵션을 선택합니다.

인시던트가 디바이스 소유자가 선택한 응답에 따라 자동으로 업데이트됩니다.

디바이스 소유자를 추가하려면 Defender for IoT의 사이트 및 센서 페이지에서 사이트 소유자를 편집합니다. 자세한 내용은 Azure Portal에서 사이트 관리 옵션을 참조하세요.

매우 중요한 디바이스와 관련된 인시던트 심사

플레이북 이름: AD4IoT-AutoTriageIncident

이 플레이북은 관련된 디바이스의 중요도 수준에 따라 인시던트 심각도를 업데이트합니다.

다음 단계

데이터 시각화

사용자 지정 분석 규칙 만들기

인시던트 조사

엔터티 조사

자동화 규칙과 함께 플레이북 사용

자세한 내용은 블로그: Microsoft Sentinel을 사용하여 중요한 인프라 방어: IT/OT 위협 모니터링 솔루션을 참조하세요.