다음을 통해 공유

OT 네트워크 센서에서 사용자 만들기 및 관리

  • 아티클

Microsoft Defender for IoT는 OT 네트워크 센서 및 레거시 온-프레미스 관리 콘솔에서 온-프레미스 사용자 액세스를 관리하기 위한 도구를 제공합니다. Azure 사용자는 Azure RBAC를 사용하여 Azure 구독 수준에서 관리됩니다.

이 문서에서는 OT 네트워크 센서에서 직접 온-프레미스 사용자를 관리하는 방법을 설명합니다.

기본 권한이 있는 사용자

기본적으로 각 OT 네트워크 센서는 문제 해결 및 설치를 위한 고급 도구에 액세스할 수 있는 권한 있는 관리자 사용자와 함께 설치됩니다.

처음으로 센서를 설정할 때 관리자 사용자에 로그인하고 Admin 역할로 초기 사용자를 만든 다음 보안 분석가 및 읽기 전용 사용자를 위한 추가 사용자를 만듭니다.

자세한 내용은 OT 센서 설치 및 설정하기기본 권한 있는 온-프레미스 사용자를 참조하세요.

23.1.x 이전의 센서 버전에는 cyberxcyberx_host 권한 있는 사용자도 포함됩니다. 버전 23.1.x 이상에서는 이러한 사용자가 설치되지만 기본적으로 사용하도록 설정되지는 않습니다.

23.1.x 이상 버전에서 cyberxcyberx_host 사용자를 사용하도록 설정하려면(예: Defender for IoT CLI와 함께 사용) 암호를 다시 설정합니다. 자세한 내용은 센서 사용자의 암호 변경을 참조하세요.

Active Directory 연결 구성

Active Directory 사용자가 센서에 로그인하고 그룹의 모든 사용자에게 할당된 집단 사용 권한으로 Active Directory 그룹을 사용할 수 있도록 하려면 Active Directory를 사용하여 OT 센서에서 온-프레미스 사용자를 구성하는 것이 좋습니다.

예를 들어 많은 사용자에게 읽기 전용 액세스 권한을 할당하려고 하고 그룹 수준에서 해당 권한을 관리하려는 경우 Active Directory를 사용합니다.

대규모로 OT 센서 설정 관리를 시작할 준비가 되면 Azure Portal에서 Active Directory 설정을 정의합니다. Azure Portal에서 설정을 적용하면 센서 콘솔의 설정은 읽기 전용입니다. 자세한 내용은 Azure Portal에서 OT 센서 설정 구성(공개 미리 보기)을 참조하세요.

Active Directory와 통합하려면 다음을 수행합니다.

  1. OT 센서에 로그인하고 시스템 설정>통합>Active Directory를 선택합니다.

  2. Active Directory Integration Enabled 옵션을 토글합니다.

  3. Active Directory 서버에 대해 다음 값을 입력합니다.

    이름 설명
    도메인 컨트롤러 FQDN LDAP 서버에 표시되는 것과 동일한 FQDN(정규화된 도메인 이름)입니다. 예를 들어 host1.subdomain.contoso.com을 입력합니다.

    FQDN을 사용한 통합에 문제가 발생하면 DNS 구성을 확인합니다. 통합을 설정할 때 FQDN 대신 LDAP 서버의 명시적 IP를 입력할 수도 있습니다.
    도메인 컨트롤러 포트 LDAP가 구성된 포트입니다. 예를 들어, LDAPS(SSL) 연결에는 포트 636을 사용합니다.
    기본 도메인 subdomain.contoso.com과 같은 도메인 이름을 선택한 다음 LDAP 구성에 대한 연결 형식을 선택합니다.

    지원되는 연결 형식은 다음과 같습니다. LDAPS/NTLMv3(권장), LDAP/NTLMv3 또는 LDAP/SASL-MD5
    Active Directory 그룹 필요에 따라 나열된 각 권한 수준에 Active Directory 그룹을 추가하려면 + 추가를 선택합니다.

    그룹 이름을 입력할 때 LDAP 서버의 Active Directory 구성에 정의된 것과 정확하게 그룹 이름을 입력했는지 확인합니다. Active Directory를 사용하여 새 센서 사용자를 추가할 때 이러한 그룹 이름을 사용하게 됩니다.

    지원되는 권한 수준에는 읽기 전용, 보안 분석가, 관리자신뢰할 수 있는 도메인이 포함됩니다.

    Important

    LDAP 매개 변수를 입력하는 경우:

    • 대/소문자를 제외하고 Active Directory에 나타나는 것과 정확하게 값을 정의합니다.
    • Active Directory의 구성에서 대문자를 사용하더라도 소문자만 사용합니다.
    • 동일한 도메인에 대해 LDAP와 LDAPS를 구성할 수 없습니다. 그러나 서로 다른 도메인에서 각각을 구성한 다음 동시에 사용할 수 있습니다.

  4. 다른 Active Directory 서버를 추가하려면 페이지 맨 위에 있는 + 서버 추가를 선택하고 해당 서버 값을 정의합니다.

  5. 모든 Active Directory 서버를 추가한 경우 저장을 선택합니다.

    예시:

    Screenshot of the active directory integration configuration on the sensor.

새 OT 센서 사용자 추가

이 절차에서는 특정 OT 네트워크 센서에 대한 새 사용자를 만드는 방법을 설명합니다.

필수 구성 요소: 이 절차는 관리자, cyberxcyberx_host 사용자 및 관리자 역할이 있는 모든 사용자에게 사용할 수 있습니다.

사용자를 추가하려면 다음을 수행합니다.

  1. 센서 콘솔에 로그인하고 사용자>+ 사용자 추가를 선택합니다.

  2. 사용자 만들기 | 사용자 페이지에서 다음 세부 정보를 입력합니다.

    이름 설명
    사용자 이름 사용자에 대한 의미 있는 사용자 이름을 입력합니다.
    전자 메일 사용자의 전자 메일 주소를 입력합니다.
    이름 사용자의 이름을 입력합니다.
    사용자의 성을 입력합니다.
    역할 관리자, 보안 분석가 또는 읽기 전용 사용자 역할 중 하나를 선택합니다. 자세한 내용은 온-프레미스 사용자 역할을 참조하세요.
    암호 사용자 유형을 로컬 또는 Active Directory 사용자 중에서 선택합니다.

    로컬 사용자의 경우 해당 사용자의 암호를 입력합니다. 암호 요구 사항은 다음과 같습니다.
    - 최소 8자 이상
    - 영문 소문자, 대문자 모두 가능
    - 하나 이상의 숫자
    - 하나 이상의 기호

    로컬 사용자 암호는 관리 사용자만 수정할 수 있습니다.

    Active Directory와 통합하면 사용자 그룹을 특정 권한 수준과 연결할 수 있습니다. Active Directory를 사용하여 사용자를 만들려면 먼저 Active Directory 연결을 구성한 다음 이 절차로 돌아갑니다.

  3. 완료되면 저장을 선택합니다.

새 사용자가 추가되고 센서 사용자 페이지에 나열됩니다.

사용자를 편집하려면 편집하려는 사용자에 대한 편집 단추를 선택하고 필요에 따라 값을 변경합니다.

사용자를 삭제하려면 삭제하려는 사용자의 삭제 단추를 선택합니다.

센서 사용자의 암호 변경

이 절차에서는 관리 사용자가 로컬 사용자 암호를 변경할 수 있는 방법을 설명합니다. 관리 사용자는 자신이나 다른 보안 분석가 또는 읽기 전용 사용자의 암호를 변경할 수 있습니다. 권한이 있는 사용자는 자신의 암호를 변경할 수 있고, 관리 사용자의 암호도 변경할 수 있습니다.

권한 있는 사용자 계정에 대한 액세스를 복구해야 하는 경우 센서대한 권한 있는 액세스 복구를 참조하세요.

필수 구성 요소: 이 절차는 cyberx, 관리자또는 cyberx_host 사용자 또는 Admin 역할을 가진 사용자에 대해서만 사용할 수 있습니다.

센서 사용자의 암호를 변경하려면 다음을 수행합니다.

  1. 센서에 로그인하고 사용자를 선택합니다.

  2. 센서의 사용자 페이지에서 암호를 변경해야 하는 사용자를 찾습니다.

  3. 해당 사용자 행의 오른쪽에서 옵션(...) 메뉴 >편집을 선택하여 사용자 창을 엽니다.

  4. 오른쪽의 사용자 창의 암호 변경 영역에서 새 암호를 입력하고 확인합니다. 사용자 고유의 암호를 변경하는 경우 현재 암호도 입력해야 합니다.

    암호 요구 사항은 다음과 같습니다.

    • 8자 이상
    • 소문자 및 대문자 알파벳 문자
    • 하나 이상의 숫자
    • 하나 이상의 기호

  5. 완료되면 저장을 선택합니다.

센서에 대한 권한 있는 액세스 복구

이 절차에서는 센서, cyberx, 관리자 또는 cyberx_host 사용자에 대한 권한 있는 액세스를 복구하는 방법을 설명합니다. 자세한 내용은 기본 권한 있는 온-프레미스 사용자를 참조하세요.

필수 구성 요소: 이 절차는 cyberx, 관리자 또는 cyberx_host 사용자에 대해서만 사용할 수 있습니다.

센서에 대한 권한 있는 액세스를 복구하려면 다음을 수행하세요.

  1. OT 네트워크 센서에 로그인을 시작합니다. 로그인 화면에서 다시 설정 링크를 선택합니다. 예시:

    Screenshot of the sensor sign-in screen with the Reset password link.

  2. 암호 재설정 대화 상자의 사용자 선택 메뉴에서 Cyberx, 관리자 또는 CyberX_host 중 암호가 복구되는 사용자를 선택합니다.

  3. 암호 재설정 식별자를 클립보드에 표시된 고유 식별자 코드를 복사합니다. 예시:

    Screenshot of the Reset password dialog on the OT sensor.

  4. Azure Portal에서 Defender for IoT 사이트 및 센서 페이지로 이동합니다. 새 브라우저 탭 또는 창에서 Azure Portal을 열고 센서 탭을 열어 두는 것이 좋습니다.

    Azure Portal 설정 >디렉터리 + 구독에서 센서가 Defender for IoT에 온보딩된 구독을 선택했는지 확인합니다.

  5. 사이트 및 센서 페이지에서 작업 중인 센서를 찾고 오른쪽 >암호 복구에서 옵션 메뉴(...)를 선택합니다. 예시:

    Screenshot of the Recover my password option on the Sites and sensors page.

  6. 열리는 복구 대화 상자에서 센서에서 클립보드에 복사한 고유 식별자를 입력하고 복구를 선택합니다. password_recovery.zip 파일이 자동으로 다운로드됩니다.

    Azure Portal에서 다운로드한 모든 파일은 신뢰할 수 있는 루트에서 서명하므로 컴퓨터는 서명된 자산만 사용합니다.

  7. 센서 탭으로 돌아가서 암호 복구 화면에서 파일 선택을 선택합니다. Azure Portal에서 이전에 다운로드한 password_recovery.zip 파일로 이동하여 업로드합니다.

    참고 항목

    파일이 잘못되었음을 나타내는 오류 메시지가 나타나면 Azure Portal 설정에서 잘못된 구독을 선택했을 수 있습니다.

    Azure로 돌아가서 위쪽 도구 모음에서 설정 아이콘을 선택합니다. 디렉터리 + 구독 페이지에서 센서가 Defender for IoT에 온보딩된 구독을 선택했는지 확인합니다. 그런 다음, Azure에서 단계를 반복하여 password_recovery.zip 파일을 다운로드하고 센서에 다시 업로드합니다.

  8. 다음을 선택합니다. 선택한 사용자에 사용할 센서에 대한 시스템 생성 암호가 나타납니다. 암호는 다시 표시되지 않으므로 꼭 적어두세요.

  9. 다음을 다시 선택하여 새 암호로 센서에 로그인합니다.

실패한 최대 로그인 수 정의

OT 센서의 CLI 액세스를 사용하여 OT 센서가 사용자가 동일한 IP 주소에서 다시 로그인하지 못하도록 하기 전에 최대 로그인 실패 횟수를 정의하세요.

자세한 내용은 Defender for IoT CLI 사용자 및 액세스를 참조하세요.

필수 구성 요소: 이 절차는 cyberx 사용자만 사용할 수 있습니다.

  1. SSH를 통해 OT 센서에 로그인하고 다음을 실행합니다.

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py

  2. settings.py 파일에서 "MAX_FAILED_LOGINS" 값을 정의하려는 최대 로그인 실패 횟수로 설정합니다. 시스템의 동시 사용자 수를 고려해야 합니다.

  3. 파일을 종료하고 sudo monit restart all을(를) 실행하여 변경 내용을 적용합니다.

사용자 세션 시간 제한 제어

기본적으로 온-프레미스 사용자는 30분 동안 작업이 없으면 세션에서 로그아웃됩니다. 관리 사용자는 로컬 CLI 액세스를 사용하여 이 기능을 켜거나 끄거나 비활성 임계값을 조정할 수 있습니다. 자세한 내용은 Defender for IoT CLI 사용자 및 액세스OT 네트워크 센서의 CLI 명령 참조를 참조하세요.

참고 항목

사용자 세션 시간 제한에 대한 모든 변경 내용은 OT 모니터링 소프트웨어를 업데이트하면 기본값으로 다시 설정됩니다.

필수 구성 요소: 이 절차는 관리자, cyberxcyberx_host 사용자만 사용할 수 있습니다.

센서 사용자 세션 시간 제한을 제어하려면 다음을 수행합니다.

  1. 터미널을 통해 센서에 로그인하고 다음을 실행합니다.

    sudo nano /var/cyberx/properties/authentication.properties

    다음과 같은 출력이 표시됩니다.

    infinity_session_expiration=true
session_expiration_default_seconds=0
session_expiration_admin_seconds=1800
session_expiration_security_analyst_seconds=1800
session_expiration_read_only_users_seconds=1800
certifcate_validation=false
crl_timeout_secounds=3
crl_retries=1
cm_auth_token=

  2. 다음 중 하나를 수행합니다.

    • 사용자 세션 시간 제한을 완전히 끄려면infinity_session_expiration=trueinfinity_session_expiration=false로 변경합니다. 다시 변경하여 다시 켭니다.

    • 비활성 시간 제한 기간을 조정하려면 다음 값 중 하나를 필요한 시간(초)으로 조정합니다.

      • 모든 사용자에 대한 session_expiration_default_seconds
      • session_expiration_admin_seconds: 관리자 사용자 전용
      • session_expiration_security_analyst_seconds: 보안 분석가 사용자 전용
      • session_expiration_read_only_users_seconds: 읽기 전용 사용자 전용

다음 단계

자세한 내용은 감사 사용자 활동을 참조하세요.