OT 센서에 대한 경고 보기 및 관리

  • 아티클

Microsoft Defender for IoT 경고는 네트워크에 로그된 이벤트에 대한 실시간 세부 정보를 통해 네트워크 보안 및 운영을 강화합니다. OT 네트워크 센서에서 주의가 필요한 네트워크 트래픽의 변경 내용 또는 의심스러운 작업을 검색하면 OT 경고가 트리거됩니다.

이 문서에서는 OT 네트워크 센서에서 직접 Defender for IoT 경고를 보는 방법을 설명합니다. Azure Portal 또는 온-프레미스 관리 콘솔에서 OT 경고를 볼 수도 있습니다.

자세한 내용은 Microsoft Defender for IoT 경고를 참조하세요.

필수 조건

  • OT 센서에 대한 경고를 사용하려면 센서에 대해 구성한 SPAN 포트와 Defender for IoT 모니터링 소프트웨어가 설치되어 있어야 합니다. 자세한 내용은 OT 에이전트 없는 모니터링 소프트웨어 설치를 참조하세요.

  • OT 센서에서 경고를 보려면 센서에 관리자, 보안 분석가 또는 뷰어 사용자로 로그인합니다.

  • OT 센서에서 경고를 관리하려면 센서에 관리자 또는 보안 분석가 사용자로 로그인합니다. 경고 관리 활동에는 상태 또는 심각도 수정, 경고 학습 또는 음소거, PCAP 데이터 액세스 또는 경고에 미리 정의된 설명 추가가 포함됩니다.

자세한 내용은 Defender for IoT를 사용한 OT 모니터링을 위한 온-프레미스 사용자 및 역할을 참조하세요.

OT 센서에서 경고 보기

  1. OT 센서 콘솔에 로그인하고 왼쪽의 경고 페이지를 선택합니다.

    기본적으로 다음 세부 정보가 그리드에 표시됩니다.

    이름 설명
    심각도 필요에 따라 수정할 수 있는 센서에서 할당된 미리 정의된 경고 심각도는 위험, 중요, 중요하지 않음, 경고입니다.
    이름 경고 제목
    엔진 활동을 탐지하고 경고를 트리거한 Defender for IoT 검색 엔진입니다.
    마지막 검색 경고가 마지막으로 검색된 시간입니다.

    - 경고 상태가 신규이고 동일한 트래픽이 다시 표시되면 동일한 경고에 대해 마지막 검색 시간이 업데이트됩니다.
    - 경고 상태가 닫힘이고 트래픽이 다시 표시되면 마지막 검색 시간이 업데이트되지 않고 새 경고가 트리거됩니다.
    상태 경고 상태: 신규, 활성, 닫힘

    자세한 내용은 경고 상태 및 분류 옵션을 참조하세요.
    원본 디바이스 원본 디바이스 IP 주소, MAC 또는 디바이스 이름.
    ID Azure Portal의 ID와 일치하는 고유한 경고 ID입니다.

    참고: 동일한 경고를 검색한 센서의 경고가 다른 경고와 병합된 경우 Azure Portal은 경고를 생성한 첫 번째 센서의 경고 ID를 표시합니다.

    1. 자세한 내용을 보려면 열 편집 단추를 선택합니다.

      오른쪽의 열 편집 창에서 열 추가 및 다음 추가 열 중 하나를 선택합니다.

      이름 설명
      대상 디바이스 대상 디바이스 IP 주소
      첫 번째 검색 경고 활동이 처음 검색된 시간입니다.
      ID 경고 ID입니다.
      마지막 활동 심각도 또는 상태에 대한 수동 업데이트 또는 디바이스 업데이트 또는 디바이스/경고 중복 제거에 대한 자동화된 변경 내용을 포함하여 경고가 마지막으로 변경된 시간

표시된 경고 필터링

검색 상자, 시간 범위필터 추가 옵션을 사용하여 특정 매개 변수로 표시되는 경고를 필터링하거나 특정 경고를 찾는 데 도움이 됩니다.

예시:

Screenshot of an OT sensor Alerts page being filtered by Groups.

그룹별 경고 필터링은 디바이스 인벤토리 또는 디바이스 맵 페이지에서 만든 사용자 지정 그룹을 사용합니다.

표시된 경고 그룹화

오른쪽 상단의 그룹화 기준 메뉴를 사용하여 심각도, 이름, 엔진 또는 상태에 따라 그리드를 하위 섹션으로 축소합니다.

예를 들어 총 경고 수가 그리드 위에 표시되는 동안 특정 심각도 또는 상태의 경고 수와 같이 경고 수 분석에 대한 보다 구체적인 정보가 필요할 수 있습니다.

세부 정보 보기 및 특정 경고 수정

  1. OT 센서에 로그인하고 왼쪽 메뉴에서 경고를 선택합니다.

  2. 오른쪽 창에 자세한 내용을 표시하려면 그리드에서 경고를 선택합니다. 경고 세부 정보 창에는 경고 설명, 트래픽 원본 및 대상 등이 포함됩니다. 자세히 알아보려면 전체 세부 정보 보기를 선택합니다. 예시:

    Screenshot of an alert selected from the Alerts page on an OT sensor.

  3. 경고 세부 정보 페이지에서는 경고에 대한 자세한 내용과 작업 수행 탭의 수정 단계 세트를 제공합니다.

    다음 탭을 사용하여 더 많은 컨텍스트 인사이트를 얻습니다.

    • 맵 보기. 센서에 연결된 다른 디바이스를 사용하여 맵 보기에서 원본 및 대상 디바이스를 봅니다. 예시:

      Screenshot of the Map View tab on an alert details page.

    • 이벤트 타임라인. 관련 디바이스에서 다른 최근 활동과 함께 이벤트를 봅니다. 표시되는 데이터를 사용자 지정하는 필터 옵션입니다. 예시:

      Screenshot of an event timeline on an alert details page.

경고 상태 및 심사 경고 관리

진행률이 기록되도록 수정 단계를 수행한 후 경고 상태를 업데이트해야 합니다. 단일 경고에 대한 상태를 업데이트하거나 경고를 대량으로 선택할 수 있습니다.

검색된 네트워크 트래픽이 승인되었음을 Defender for IoT에 나타내도록 경고를 학습시킵니다. 학습된 경고는 다음에 네트워크에서 동일한 트래픽이 검색될 때 다시 트리거되지 않습니다. 학습을 사용할 수 없고 네트워크에서 특정 시나리오를 무시하려는 경우 경고를 음소거합니다.

자세한 내용은 경고 상태 및 분류 옵션을 참조하세요.

  • 경고 상태를 관리하려면 다음을 수행합니다.

    1. OT 센서 콘솔에 로그인하고 왼쪽의 경고 페이지를 선택합니다.

    2. 상태를 업데이트하려는 그리드에서 하나 이상의 경고를 선택합니다.

    3. 오른쪽의 세부 정보 창에 있는 도구 모음 상태 변경 단추 또는 상태 옵션을 사용하여 경고 상태를 업데이트합니다.

      상태 옵션은 경고 세부 정보 페이지에서도 사용할 수 있습니다.

  • 하나 이상의 경고를 알아보려면 다음을 수행합니다.

    OT 센서 콘솔에 로그인하고 왼쪽에서 경고 페이지를 선택한 후 다음 중 하나를 수행합니다.

    • 그리드에서 학습 가능한 경고를 하나 이상 선택한 다음 도구 모음에서 학습을 선택합니다.
    • 경고 세부 정보 페이지의 작업 수행 탭에서 학습을 선택합니다.

  • 경고를 음소거하려면 다음을 수행합니다.

    1. OT 센서 콘솔에 로그인하고 왼쪽의 경고 페이지를 선택합니다.
    2. 음소거하려는 경고를 찾아 해당 경고 세부 정보 페이지를 엽니다.
    3. 작업 수행 탭에서 경고 음소거 옵션을 설정합니다.

  • 경고를 학습 취소하거나 음소거 해제하려면 다음을 수행합니다.

    1. OT 센서 콘솔에 로그인하고 왼쪽의 경고 페이지를 선택합니다.
    2. 학습하거나 음소거한 경고를 찾아 해당 경고 세부 정보 페이지를 엽니다.
    3. 작업 수행 탭에서 경고 학습 또는 경고 음소거 옵션을 해제합니다.

    경고를 학습 해제하거나 음소거 해제하면 센서에서 선택한 트래픽 조합을 감지할 때마다 경고가 다시 트리거됩니다.

경고 PCAP 데이터에 액세스

조사의 일부로 패킷 캡처 파일 또는 PCAP 파일이라고도 하는 원시 트래픽 파일에 액세스할 수 있습니다.

경고에 대한 원시 트래픽 파일에 액세스하려면 경고 세부 정보 페이지의 왼쪽 상단에서 PCAP 다운로드를 선택합니다.

예시:

Screenshot of the Download PCAP options on the OT sensor.

PCAP 파일이 다운로드되고 브라우저에서 파일을 로컬로 열거나 저장하라는 메시지가 표시됩니다.

CSV 또는 PDF로 경고 내보내기

오프라인 공유 및 보고를 위해 선택한 경고를 CSV 또는 PDF 파일로 내보낼 수 있습니다.

  • 기본 경고 페이지에서 CSV 파일로 경고를 내보냅니다. 경고를 한 번에 하나씩 또는 대량으로 내보냅니다.
  • 기본 경고 페이지 또는 경고 세부 정보 페이지에서 경고를 한 번에 하나씩만 PDF 파일로 내보냅니다.

경고를 CSV 파일로 내보내려면 다음을 수행합니다.

  1. OT 센서 콘솔에 로그인하고 왼쪽의 경고 페이지를 선택합니다.

  2. 내보낼 경고만 표시하려면 검색 상자 및 필터 옵션을 사용합니다.

  3. 그리드 위의 도구 모음에서 CSV로 내보내기를 선택합니다.

파일이 생성되고 로컬로 열거나 저장하라는 메시지가 표시됩니다.

경고를 PDF 파일로 내보내려면 다음을 수행합니다.

OT 센서 콘솔에 로그인하고 왼쪽에서 경고 페이지를 선택한 후 다음 중 하나를 수행합니다.

  • 경고 페이지에서 경고를 선택한 다음, 그리드 위의 도구 모음에서 PDF로 내보내기를 선택합니다.
  • 경고 세부 정보 페이지에서 PDF로 내보내기를 선택합니다.

파일이 생성되고 로컬로 저장하라는 메시지가 표시됩니다.

경고 설명 추가

경고 설명을 사용하면 팀 구성원 간의 통신을 수행하고 데이터를 보다 효율적으로 기록하여 조사 및 수정 프로세스를 가속화할 수 있습니다.

관리자가 경고에 추가할 팀에 대한 사용자 지정 메모를 만든 경우 경고 세부 정보 페이지의 설명 섹션에서 추가합니다.

  1. OT 센서 콘솔에 로그인하고 왼쪽의 경고 페이지를 선택합니다.

  2. 설명을 추가할 경고를 찾아 경고 세부 정보 페이지를 엽니다.

  3. 설명 선택 목록에서 추가할 메모를 선택한 다음, 추가를 선택합니다. 예시:

    Screenshot of the Comments section on an alert details page on the sensor.

자세한 내용은 OT 경고 워크플로 가속화를 참조하세요.

다음 단계

Microsoft Defender for IoT에서 데이터 보존