인시던트 및 경고 조사

Microsoft Defender 포털의 Microsoft Defender for IoT는 인시던트 및 경고를 표시하여 OT(운영 기술) 네트워크에 기록된 이벤트에 대한 실시간 세부 정보로 네트워크 보안 및 작업을 향상시킵니다.

경고는 모든 인시던트의 기초이며 환경에서 악의적이거나 의심스러운 이벤트가 발생했음을 나타냅니다. 인시던트 내에서 네트워크에 영향을 주는 경고를 분석하고, 그 의미를 이해하고, 효과적인 수정 계획을 고안할 수 있도록 증거를 수집합니다.

Defender 포털 에서 경고 및 인시던트에 대해 자세히 알아봅니다.

이 문서에서는 Microsoft Defender for IoT 인시던트 및 관련 경고를 조사하는 방법과 경고로 인해 발생한 보안 문제를 해결하는 방법을 알아봅니다.

인시던트 페이지의 경고는 IT 및 OT 환경 신호를 고유하게 결합하여 잠재적인 위협 및 데이터 누출을 감지합니다. 인시던트 페이지에는 다음이 표시됩니다.

인시던트에 연결된 경고의 기록 및 인시던트 그래프입니다. 그래프는 손상될 수도 있는 영향을 받는 OT 디바이스에 연결된 다른 디바이스를 보여줍니다.
검색된 보안 문제의 유형을 설명하는 경고 설명입니다.
보안 문제를 해결하기 위한 수정 옵션입니다.

참고

Defender for IoT에 대한 인시던트 및 경고 데이터는 사이트를 설정하고 디바이스가 Defender 포털로 데이터를 보내는 경우에만 표시됩니다. 사이트를 설정하는 방법을 알아봅니다.

중요

이 문서에서는 Defender 포털(미리 보기)의 Microsoft Defender for IoT에 대해 설명합니다.

클래식 Defender for IoT 포털(Azure Portal)에서 작업하는 기존 고객인 경우 Azure의 Defender for IoT 설명서를 참조하세요.

Defender for IoT 관리 포털에 대해 자세히 알아봅니다.

이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.

경고 조사

경고를 조사하려면 다음을 수행합니다.

Microsoft Defender 포털 메뉴에서 인시던트 & 경고 인시던트 >를 선택합니다.
OT 관련 인시던트를 표시하려면 다음을 수행합니다.
1. 필터 추가를 선택합니다.
2. 제품 이름을 선택하고 추가를 선택합니다.
3. 표시되는 제품 이름 탭을 선택하고 IoT용 Defender를 입력합니다.
4. 적용을 선택합니다.
인시던트를 찾아 선택합니다.

특정 인시던트 페이지에는 경고 타임라인, 인시던트 그래프 및 인시던트 세부 정보로 구성된 공격 스토리가 표시됩니다.
경고 목록에서 경고를 선택합니다.

인시던트 그래프 및 인시던트 세부 정보에는 이 경고에 대한 특정 데이터가 표시됩니다.
인시던트 패널에서 정보를 검토하고 경고 설명, 증거 및 영향을 받은 자산을 읽고 경고 권장 작업에 따라 문제를 해결합니다.

Defender for IoT는 고유한 경고를 생성합니다.

이름	설명
손상된 디바이스로 인한 작동 영향 가능성	OT(운영 기술) 자산과 통신하는 손상된 디바이스입니다. 공격자가 물리적 작업을 제어하거나 방해하려고 할 수 있습니다.

DeviceInfo 테이블에 나열된 Site 속성을 사용하여 고급 헌팅에 대한 쿼리를 작성합니다. 이렇게 하면 특정 사이트에 따라 디바이스를 필터링할 수 있습니다(예: 특정 사이트의 악성 디바이스와 통신한 모든 디바이스).

다음 쿼리는 샌프란시스코 사이트의 특정 IP 주소를 가진 모든 엔드포인트 디바이스를 나열합니다.

DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"

이는 디바이스 인벤토리 및 사이트 보안 모두와 관련이 있습니다. 자세한 내용은 고급 헌팅 및 고급 헌팅 DeviceInfo 스키마를 참조하세요.