Microsoft Defender for IoT와 ClearPass 통합

주의

이 문서에서는 EOL(수명 종료) 상태에 가까워진 Linux 배포판인 CentOS를 참조하세요. 이에 따라 사용 및 계획을 고려하세요. 자세한 내용은 CentOS 수명 종료 지침을 참조 하세요.

이 문서에서는 ClearPass와 Defender for IoT 정보를 한 곳에서 모두 볼 수 있도록 Aruba ClearPass를 Microsoft Defender for IoT와 통합하는 방법을 설명합니다.

Defender for IoT와 ClearPass 정보를 함께 보면 SOC 분석가에게 산업 환경에 배포된 특수한 OT 프로토콜 및 디바이스에 대한 다차원 가시성을 제공하며 ICS 인식 동작 분석으로 의심스러운 동작 또는 변칙적인 동작을 신속하게 검색합니다.

클라우드 기반 통합

팁

클라우드 기반 보안 통합은 중앙 집중식, 간단한 센서 관리, 중앙 집중식 보안 모니터링과 같은 온-프레미스 솔루션에 비해 몇 가지 이점을 제공합니다.

다른 이점으로는 실시간 모니터링, 효율적인 리소스 사용, 확장성 및 견고성 향상, 보안 위협 방지 개선, 간소화된 유지 관리 및 업데이트, 타사 솔루션과의 원활한 통합 등이 있습니다.

클라우드 연결 OT 센서를 Aruba ClearPass와 통합하는 경우 Microsoft Sentinel에 연결한 다음 Aruba ClearPass 데이터 커넥터를 설치하는 것이 좋습니다.

Microsoft Sentinel은 SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화된 응답)을 위한 확장성 있는 클라우드 서비스입니다. SOC 팀은 Microsoft Defender for IoT와 Microsoft Sentinel 간의 통합을 사용하여 네트워크에서 데이터를 수집하고, 위협을 검색 및 조사하고, 인시던트에 대응할 수 있습니다.

Microsoft Sentinel에서 Defender for IoT 데이터 커넥터 및 솔루션은 기본 제공 보안 콘텐츠를 SOC 팀에 제공하여 OT 보안 경고를 확인, 분석 및 대응하고 더 광범위한 조직 위협 콘텐츠에서 생성된 인시던트를 이해할 수 있도록 지원합니다.

자세한 내용은 다음을 참조하세요.

• 자습서: Microsoft Sentinel과 Microsoft Defender for IoT 연결
• 자습서: IoT 디바이스에 대한 위협 조사 및 검색
• Microsoft Sentinel 설명서.

온-프레미스 통합

에어 갭이 있고 로컬로 관리되는 OT 센서를 사용하는 경우 동일한 장소에서 Defender for IoT 및 Splunk 정보를 보려면 온-프레미스 솔루션이 필요합니다.

이러한 경우 syslog 파일을 ClearPass에 직접 보내도록 OT 센서를 구성하거나 Defender for IoT 기본 제공 API를 사용하는 것이 좋습니다.

자세한 내용은 다음을 참조하세요.

• 온-프레미스 OT 경고 정보 전달
• Defender for IoT API 참조

온-프레미스 통합(레거시)

이 섹션에서는 레거시 온-프레미스 통합을 사용하여 Defender for IoT와 CPPM(ClearPass Policy Manager)을 통합하는 방법을 설명합니다.

Important

레거시 Aruba ClearPass 통합은 센서 버전 23.1.3을 사용하여 2024년 10월까지 지원되며 예정된 주요 소프트웨어 버전에서는 지원되지 않습니다. 레거시 통합을 사용하는 고객의 경우 다음 방법 중 하나로 전환하는 것이 좋습니다.

• 보안 솔루션을 클라우드 기반 시스템과 통합하는 경우 Microsoft Sentinel을 통해 데이터 커넥터를 사용하는 것이 좋습니다.
• 온-프레미스 통합의 경우 syslog 이벤트를 전달하거나 Defender for IoT API를 사용하도록 OT 센서를 구성하는 것이 좋습니다.

필수 조건

시작하기 전에 다음 필수 조건을 갖추고 있는지 확인합니다.

필수 요소	설명
Aruba ClearPass 요구 사항	CPPM은 사전 설치된 소프트웨어가 있는 하드웨어 어플라이언스 또는 다음 하이퍼바이저에 있는 가상 머신으로 실행됩니다. - VMware ESXi 5.5, 6.0, 6.5, 6.6 이상 - Microsoft Hyper-V Server 2012 R2 또는 2016 R2 - Hyper-V on Microsoft Windows Server 2012 R2 또는 2016 R2 - CentOS 7.5 이상의 KVM VMware Player와 같은 클라이언트 컴퓨터에서 실행되는 하이퍼바이저는 지원되지 않습니다.
Defender for IoT 요구 사항	- Defender for IoT 버전 2.5.1 이상 - Defender for IoT OT 센서에 관리 사용자로 액세스합니다.

ClearPass API 사용자 만들기

Defender for IoT는 두 제품 간 통신 채널의 일환으로 많은 API(TIPS 및 REST)를 사용합니다. TIPS API에 대한 액세스는 사용자 이름 및 암호 조합 자격 증명을 통해 확인됩니다. 이 사용자 ID에는 최소 수준의 액세스 권한이 있어야 합니다. 최고 관리자 프로필을 사용하지 말고 대신 아래와 같이 API 관리자를 사용합니다.

ClearPass API 사용자를 만들려면 다음을 수행합니다.

1. 관리>사용자 및 권한을 선택한 다음 추가를 선택합니다.

2. 관리자 사용자 추가 대화 상자에서 다음 매개 변수를 설정합니다.

   매개 변수	설명
   UserID	사용자 ID를 입력합니다.
   이름	사용자 이름을 입력합니다.
   암호	암호를 입력합니다.
   사용자 사용	이 옵션을 사용하도록 설정되었는지 확인합니다.
   권한 수준	API 관리자를 선택합니다.

3. 추가를 선택합니다.

ClearPass 운영자 프로필 만들기

Defender for IoT는 통합의 일부로 REST API를 사용합니다. REST API는 OAuth 프레임워크에서 인증됩니다. Defender for IoT와 동기화하려면 API 클라이언트를 만들어야 합니다.

API 클라이언트의 REST API에 대한 액세스를 보호하려면 액세스가 제한된 운영자 프로필을 만듭니다.

ClearPass 운영자 프로필을 만들려면 다음을 수행합니다.

1. 운영자 프로필 편집 창으로 이동합니다.

2. 다음을 제외하고 모든 옵션을 액세스 권한 없음으로 설정합니다.

   매개 변수	설명
   API Services	액세스 허용 설정
   정책 관리자	다음과 같이 설정합니다. - 사전: 읽기, 쓰기, 삭제하도록 설정된 특성 - 사전: 지문이 읽기, 쓰기, 삭제로 설정됨 - ID: 읽기, 쓰기, 삭제하도록 설정된 엔드포인트

ClearPass OAuth API 클라이언트 만들기

1. 주 창에서 관리자>API 서비스>API 클라이언트를 선택합니다.

2. API 클라이언트 만들기 탭에서 다음 매개 변수를 설정합니다.

   • 운영 모드: 이 매개 변수는 Clearpass에 대한 API 통화에 사용됩니다. Clearpass REST API – 클라이언트를 선택합니다.

   • 운영자 프로필: 이전에 만든 프로필을 사용합니다.

   • 권한 부여 유형: 클라이언트 자격 증명(grant_type = client_credentials)을 설정합니다.

3. 클라이언트 암호와 클라이언트 ID를 기록해야 합니다. 예: defender-rest.

4. 정책 관리자에서 다음 단계로 진행하기 전에 다음 정보 목록을 수집했는지 확인합니다.

   • CPPM 사용자 ID

   • CPPM 사용자 ID 암호

   • CPPM OAuth2 API 클라이언트 ID

   • CPPM OAuth2 API 클라이언트 암호

ClearPass와 통합하도록 IoT에 대한 Defender 구성하기

ClearPass에서 디바이스 인벤토리 보기를 사용하도록 설정하려면 Defender for IoT-ClearPass 동기화를 설정해야 합니다. 동기화 구성이 완료되면 Defender for IoT 플랫폼은 새 엔드포인트를 발견할 때 ClearPass 정책 관리자 EndpointDb를 업데이트합니다.

Defender for IoT 센서에서 ClearPass 동기화를 구성하려면 다음을 수행합니다.

1. Defender for IoT 센서에서 시스템 설정>통합>ClearPass를 선택합니다.

2. 다음 매개 변수를 설정합니다.

   매개 변수	설명
   동기화 사용	Defender for IoT와 ClearPass 간의 동기화를 사용하도록 설정하려면 켜세요.
   동기화 빈도(분)	동기화 빈도를 분 단위로 정의합니다. 기본값은 60분입니다. 최솟값은 5분입니다.
   ClearPass 호스트	Defender for IoT가 동기화되는 ClearPass 시스템의 IP 주소입니다.
   클라이언트 ID	Defender for IoT와 데이터를 동기화하기 위해 ClearPass에서 만들어진 클라이언트 ID입니다.
   클라이언트 암호	Defender for IoT와 데이터를 동기화하기 위해 ClearPass에서 만들어진 클라이언트 암호입니다.
   사용자 이름	ClearPass 관리자 사용자입니다.
   암호	ClearPass 관리자 암호입니다.

3. 저장을 선택합니다.

ClearPass 전달 규칙 정의하기

Defender for IoT가 발견한 경고를 아루바에서 볼 수 있도록 설정하려면 전달 규칙을 설정해야 합니다. 이 규칙은 ICS 및 Defender for IoT 보안 엔진이 식별한 SCADA 보안 위협에 대한 어떤 정보를 ClearPass로 보낼지 정의합니다.

자세한 내용은 온-프레미스 통합을 참조하세요.

IoT 통신용 ClearPass 및 Defender 모니터링하기

동기화가 시작되면 엔드포인트 데이터가 Policy Manager EndpointDb로 직접 채워지므로 통합 구성 화면에서 마지막 업데이트 시간을 볼 수 있습니다.

ClearPass에 마지막으로 동기화된 시간을 검토하려면:

1. Defender for IoT 센서에 로그인합니다.

2. 시스템 설정>통합>ClearPass를 선택합니다.

   

동기화가 작동하지 않거나 오류가 표시되면 일부 정보 캡처를 놓쳤을 가능성이 높습니다. 기록된 데이터를 다시 확인합니다.

또한 게스트>관리>지원>애플리케이션 로그에서 Defender for IoT와 ClearPass 간의 API 호출을 볼 수 있습니다.

예를 들어, Defender for IoT와 ClearPass 간의 API 로그는 다음과 같습니다.

다음 단계

Microsoft 및 파트너 서비스와 통합