자습서: Microsoft Sentinel과 Microsoft Defender for IoT 연결

​Microsoft Defender for IoT를 사용하면 기존 디바이스를 보호해야 하거나 새로운 혁신에 보안을 빌드해야 하는 경우에 상관없이 전체 OT 및 Enterprise IoT 환경을 보호할 수 있습니다.

Microsoft Sentinel 및 Microsoft Defender for IoT는 IT와 OT 보안 문제 간의 격차를 해소하고 SOC 팀이 기본 제공 기능을 통해 보안 위협을 효율적이고 효과적으로 검색하고 대응할 수 있도록 지원합니다. IoT용 Microsoft Defender와 Microsoft Sentinel 간의 통합은 조직이 IT와 OT 경계를 넘나드는 다단계 공격을 신속하게 검색하는 데 도움이 됩니다.

이 커넥터를 사용하면 Microsoft Defender for IoT에서 Microsoft Sentinel로 데이터를 스트리밍할 수 있으므로, 더 광범위한 조직 위협 컨텍스트에서 Defender for IoT 경고와 이로 인해 생성되는 인시던트를 보고 분석하고 이에 대응할 수 있습니다.

이 자습서에서는 다음을 수행하는 방법을 배우게 됩니다.

• Microsoft Sentinel에 Defender for IoT 데이터 연결
• Log Analytics를 사용하여 Defender for IoT 경고 데이터 쿼리

필수 조건

시작하기 전에 작업 영역에 다음 요구 사항이 있는지 확인합니다.

• Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한 자세한 내용은 Microsoft Sentinel의 권한을 참조하세요.

• Microsoft Sentinel에 연결하려는 구독에 대한 기여자 또는 소유자 권한

• 데이터가 Defender for IoT로 스트리밍되는 Azure 구독의 Defender for IoT 플랜 자세한 내용은 빠른 시작: Defender for IoT 시작을 참조하세요.

Important

현재 동일한 Microsoft Sentinel 작업 영역에서 IoT용 Microsoft Defender와 클라우드용 Microsoft Defender 데이터 커넥터를 동시에 사용하도록 설정하면 Microsoft Sentinel에서 중복 경고가 발생할 수 있습니다. IoT용 Microsoft Defender에 연결하기 전에 클라우드용 Microsoft Defender 데이터 커넥터의 연결을 끊는 것이 좋습니다.

IoT용 Defender의 데이터를 Microsoft Sentinel에 연결

먼저 IoT용 Defender 데이터 커넥터를 사용하도록 설정하여 모든 IoT용 Defender 이벤트를 Microsoft Sentinel로 스트리밍합니다.

IoT용 Defender 데이터 커넥터를 사용하도록 설정하려면:

1. Microsoft Sentinel의 구성에서 데이터 커넥터를 선택한 다음 IoT용 Microsoft Defender 데이터 커넥터를 찾습니다.

2. 오른쪽 하단에서 커넥터 페이지 열기를 선택합니다.

3. 지침 탭의 구성 아래에서 경고 및 디바이스 경고를 Microsoft Sentinel로 스트리밍하려는 각 구독에 대해 연결을 선택합니다.

   연결을 변경한 경우 구독 목록이 업데이트되는 데 10초 이상이 소요될 수 있습니다.

자세한 내용은 Microsoft Sentinel을 Azure, Windows, Microsoft 및 Amazon 서비스에 연결을 참조하세요.

IoT용 Defender 경고 보기

Microsoft Sentinel에 구독을 연결한 후에는 Microsoft Sentinel 로그 영역에서 Defender for IoT 경고를 볼 수 있습니다.

1. Microsoft Sentinel에서 로그 > AzureSecurityOfThings > SecurityAlert를 선택하거나 SecurityAlert를 검색합니다.

2. 다음 샘플 쿼리를 사용하여 로그를 필터링하고 IoT용 Defender에서 생성된 경고를 봅니다.

   IoT용 Defender에서 생성한 모든 경고를 보려면:

   SecurityAlert | where ProductName == "Azure Security Center for IoT"
   

   IoT용 Defender에서 생성한 특정 센서 경고를 보려면:

   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”
   

   IoT용 Defender에서 생성한 특정 OT 엔진 경고를 보려면:

   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where ProductComponentName == "MALWARE"
   
   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where ProductComponentName == "ANOMALY"
   
   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where ProductComponentName == "PROTOCOL_VIOLATION"
   
   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where ProductComponentName == "POLICY_VIOLATION"
   
   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where ProductComponentName == "OPERATIONAL"
   

   IoT용 Defender에서 생성한 심각도가 높은 경고를 보려면:

   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where AlertSeverity == "High"
   

   IoT용 Defender에서 생성한 특정 프로토콜 경고를 보려면:

   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
   

참고 항목

Microsoft Sentinel의 로그 페이지는 Azure Monitor의 Log Analytics를 기반으로 합니다.

자세한 내용은 Azure Monitor 설명서의 로그 쿼리 개요 및 첫 번째 KQL 쿼리 작성 학습 모듈을 참조하세요.

경고 타임스탬프 이해

Defender for IoT 경고는 Azure Portal과 센서 콘솔 모두에서 경고가 처음 검색된 시간, 마지막으로 검색된 시간 및 마지막으로 변경된 시간을 추적합니다.

다음 표에서는 Microsoft Sentinel에 표시된 Log Analytics의 관련 필드에 대한 매핑을 사용하여 Defender for IoT 경고 타임스탬프 필드에 대해 설명합니다.

Defender for IoT 필드	설명	Log Analytics 필드
첫 번째 검색	네트워크에서 경고가 처음 검색된 시간을 정의합니다.	StartTime
마지막 검색	경고가 네트워크에서 마지막으로 검색된 시간을 정의하고 검색 시간 열을 바꿉니다.	EndTime
마지막 활동	심각도 또는 상태에 대한 수동 업데이트 또는 디바이스 업데이트 또는 디바이스/경고 중복 제거에 대한 자동화된 변경 내용을 포함하여 경고가 마지막으로 변경된 시간을 정의합니다.	TimeGenerated

Azure Portal 및 센서 콘솔의 Defender for IoT에는 기본적으로 마지막 검색 열이 표시됩니다. 필요에 따라 첫 번째 검색 및 마지막 작업 열을 표시하도록 경고 페이지의 열을 편집합니다.

자세한 내용은 Defender for IoT 포털에서 경고 보기 및 센서에서 경고 보기를 참조하세요.

경고당 여러 레코드에 대한 이해

Defender for IoT 경고 데이터는 Microsoft Sentinel로 스트리밍되고 SecurityAlert 테이블의 Log Analytics 작업 영역에 저장됩니다.

SecurityAlert 테이블의 레코드는 Defender for IoT에서 경고가 생성되거나 업데이트될 때마다 업데이트됩니다. 경우에 따라, 경고가 처음 만들어졌을 때 및 업데이트되었을 때와 같이 하나의 경고에 여러 레코드가 있습니다.

Microsoft Sentinel에서 다음 쿼리를 사용하여 하나의 경고에 대해 SecurityAlert 테이블에 추가된 레코드를 확인합니다.

SecurityAlert
|  where ProductName == "Azure Security Center for IoT"
|  where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc

경고 상태 또는 심각도에 대한 업데이트는 SecurityAlert 테이블에 새 레코드를 즉시 생성합니다.

다른 유형의 업데이트는 최대 12시간 동안 집계되며 SecurityAlert 테이블의 새 레코드는 최신 변경 내용만 반영합니다. 집계된 업데이트의 예는 다음과 같습니다.

• 동일한 경고가 여러 번 검색되는 경우와 같이 마지막 검색 시간에 업데이트
• 새 디바이스가 기존 경고에 추가됨
• 경고에 대한 디바이스 속성이 업데이트됨

다음 단계

Microsoft Defender for IoT 솔루션은 Defender for IoT 데이터에 대해 특별히 구성되고 분석 규칙, 통합 문서 및 플레이북을 포함하는 번들로 제공되는 기본 제공 콘텐츠 세트입니다.

Microsoft Defender for IoT 솔루션 설치