Microsoft Defender for IoT 구성 요소

아티클
11/08/2023

IoT 시스템용 Microsoft Defender는 다양한 데이터 원본에서 광범위한 적용 범위와 가시성을 제공하도록 빌드되었습니다.

다음 이미지는 데이터가 네트워크 센서 및 타사 원본에서 Defender for IoT로 스트리밍되어 IoT/OT 보안에 대한 통합 보기를 제공하는 방법을 보여 줍니다. Azure Portal의 IoT용 Defender는 자산 인벤토리, 취약성 평가 및 연속 위협 모니터링을 제공합니다.

Diagram of the Defender for IoT OT system architecture.

IoT용 Defender는 클라우드 및 온-프레미스 구성 요소에 모두 연결되며, 지리적으로 분산된 대규모 환경의 확장성에 맞게 빌드됩니다.

Defender for IoT에는 다음과 같은 OT 보안 모니터링 구성 요소가 포함되어 있습니다.

The Azure portal - Microsoft Sentinel과 같은 다른 Microsoft 서비스에 대한 클라우드 관리 및 통합용
OT(운영 기술) 또는 엔터프라이즈 IoT 네트워크 센서를 통해 네트워크를 통해 디바이스를 검색합니다. Defender for IoT 네트워크 센서는 가상 머신 또는 물리적 어플라이언스 배포됩니다. OT 센서는 클라우드 연결 센서 또는 완전히 온-프레미스 로컬 관리형 센서로 구성할 수 있습니다.
온-프레미스 관리 콘솔 중앙 집중식 OT 센서 관리 및 로컬, 공기가 틈새가 있는 환경에 대한 모니터링을 위한 것입니다.

OT 및 엔터프라이즈 IoT 네트워크 센서

Defender for IoT 네트워크 센서는 네트워크 디바이스에서 네트워크 트래픽을 검색하고 지속적으로 모니터링합니다.

네트워크 센서는 OT/IoT 네트워크를 위해 특별히 제작되었으며 SPAN 포트 또는 네트워크 TAP에 연결합니다. Defender for IoT 네트워크 센서는 네트워크에 연결한 후 몇 분 내에 위험에 대한 가시성을 제공할 수 있습니다.
네트워크 센서는 OT/IoT 인식 분석 엔진 및 계층 6 DPI(심층 패킷 검사)를 사용하여 비정상 또는 무단 활동을 기반으로 파일리스 맬웨어와 같은 위협을 감지합니다.

데이터 수집, 처리, 분석 및 경고는 센서에서 직접 수행되며 대역폭이 낮거나 대기 시간이 긴 위치에 적합할 수 있습니다. Azure Portal 또는 온-프레미스 관리 콘솔 관리를 위해 원격 분석 및 인사이트만 전송됩니다.

자세한 내용은 Defender for IoT OT 배포 경로를 참조 하세요.

클라우드 연결 및 로컬 OT 센서

클라우드 연결 센서는 Azure의 IoT용 Defender에 연결된 센서이며 다음과 같이 로컬로 관리되는 센서와 다릅니다.

클라우드 연결 OT 네트워크 센서가 있는 경우:

센서에서 감지하는 모든 데이터는 센서 콘솔에 표시되지만, 경고 정보도 Azure로 전달되어 다른 Azure 서비스와 분석하고 공유할 수 있습니다.
Microsoft 위협 인텔리전스 패키지는 클라우드 연결 센서에 자동으로 푸시할 수 있습니다.
온보딩 중에 정의된 센서 이름은 센서에 표시되는 이름이며, 센서 콘솔에서 읽기 전용입니다.

반면, 로컬로 관리되는 센서로 작업하는 경우:

센서 콘솔에서 특정 센서에 대한 데이터를 봅니다. 여러 센서에서 감지한 모든 정보를 통합 보기에서 보려면 온-프레미스 관리 콘솔을 사용합니다.
위협 인텔리전스 패키지를 로컬로 관리되는 센서에 수동으로 업로드해야 합니다.
센서 이름은 센서 콘솔에서 업데이트할 수 있습니다.

자세한 내용은 센서 콘솔에서 OT 센서 관리 및 관리 콘솔 OT 센서 관리를 참조하세요.

Defender for IoT 분석 엔진

Defender for IoT 네트워크 센서는 기본 제공 분석 엔진을 사용하여 수집된 데이터를 분석하고 실시간 및 미리 기록된 트래픽을 기반으로 경고를 트리거합니다.

분석 엔진은 기계 학습 및 프로필 분석, 위험 분석, 디바이스 데이터베이스 및 인사이트 세트, 위협 인텔리전스, 동작 분석을 제공합니다.

예를 들어 정책 위반 검색 엔진 은 NISTIR 8219에 설명된 대로 BAD(동작 변칙 검색)를 활용하여 예상되는 "기준" 동작의 편차를 검색하기 위해 ICS(산업 제어 시스템) 네트워크를 모델링합니다. 이 기준은 일반 트래픽 패턴, 사용자 작업 및 ICS 네트워크에 대한 액세스와 같이 네트워크에서 발생하는 정기적인 활동을 이해하여 개발됩니다. 그런 다음 BAD 시스템은 네트워크에서 예상 동작의 편차를 모니터링하고 정책 위반에 플래그를 지정합니다. 기준 편차의 예로는 함수 코드의 무단 사용, 특정 개체에 대한 액세스 또는 디바이스 구성 변경이 포함됩니다.

많은 검색 알고리즘이 OT 네트워크가 아닌 IT용으로 빌드되었기 때문에 ICS 네트워크에 대한 추가 기준은 새로운 검색을 위한 시스템의 학습 곡선을 줄이는 데 도움이 됩니다.

Defender for IoT 네트워크 센서에는 다음과 같은 기본 분석 엔진이 포함됩니다.

이름	설명	예제
프로토콜 위반 검색 엔진	ICS 프로토콜 사양을 위반하는 패킷 구조 및 필드 값의 사용을 식별합니다. 프로토콜 위반은 패킷 구조 또는 필드 값이 프로토콜 사양을 준수하지 않을 때 발생합니다.	"잘못된 MODBUS 작업(함수 코드 0)" 경고는 기본 디바이스가 함수 코드 0이 있는 요청을 보조 디바이스로 보냈다는 것을 나타냅니다. 이 작업은 프로토콜 사양에 따라 허용되지 않으며 보조 디바이스가 입력을 올바르게 처리하지 못할 수 있습니다.
정책 위반	정책 위반은 학습되거나 구성된 설정에 정의된 기준 동작에서의 편차가 있을 때 발생합니다.	"권한 없는 HTTP 사용자 에이전트" 경고는 정책에 의해 학습되거나 승인되지 않은 애플리케이션이 디바이스에서 HTTP 클라이언트로 사용됨을 나타냅니다. 이는 해당 디바이스의 새 웹 브라우저 또는 애플리케이션일 수 있습니다.
산업용 맬웨어 검색 엔진	Conficker, Black Energy, Havex, WannaCry, NotPetya 및 Triton과 같은 알려진 맬웨어를 통해 악의적인 네트워크 활동이 있음을 나타내는 동작을 식별합니다.	"악성 활동 의심(Stuxnet)" 경고는 센서가 Stuxnet 맬웨어와 관련된 것으로 알려진 의심스러운 네트워크 활동을 감지했음을 나타냅니다. 이 맬웨어는 산업용 제어 및 SCADA 네트워크를 목표로 하는 지능형 지속 공격입니다.
변칙 검색 엔진	일상적이지 않은 M2M(컴퓨터 간) 통신 및 동작을 탐지합니다. 이 엔진은 ICS 네트워크를 모델로 하므로 IT용으로 개발된 분석보다 학습 기간이 짧습니다. 이상은 가양성을 최소화하면서 더 빠르게 검색됩니다.	"통신 채널의 주기적 동작" 경고는 산업 네트워크에서 흔히 발생하는 데이터 전송의 주기적이고 주기적인 동작을 반영합니다. 다른 예로는 과도한 SMB 로그인 시도 및 PLC 검사 검색 경고가 있습니다.
운영 인시던트 검색	장비 오류의 초기 신호를 나타낼 수 있는 간헐적 연결과 같은 운영 문제를 검색합니다.	디바이스가 미리 정의된 기간 동안 어떤 종류의 요청에도 응답하지 않을 때 "디바이스 연결이 끊어진 것으로 의심됩니다(응답하지 않음)" 경고가 트리거됩니다. 이 경고는 디바이스 종료, 연결 끊기 또는 오작동을 나타낼 수 있습니다. 또 다른 예는 Siemens S7 stop PLC 명령이 경고를 보낸 경우일 수 있습니다.

관리 옵션

IoT용 Defender는 다음과 같은 관리 옵션을 사용하여 하이브리드 네트워크 지원을 제공합니다.

Azure Portal. Azure Portal을 단일 창으로 사용하여 클라우드 연결 네트워크 센서를 통해 디바이스에서 수집된 모든 데이터를 볼 수 있습니다. Azure Portal은 통합 문서, Microsoft Sentinel 에 대한 연결, 보안 권장 사항 등과 같은 추가 값을 제공합니다.

또한 Azure Portal을 사용하여 새 어플라이언스 및 소프트웨어 업데이트를 가져오고, IoT용 Defender에서 센서를 온보딩 및 유지 관리하며, 위협 인텔리전스 패키지를 업데이트합니다. 예시:
OT 센서 콘솔입니다. 센서 콘솔에서 특정 OT 센서에 연결된 디바이스에 대한 검색을 봅니다. 센서 콘솔을 사용하여 해당 센서에 의해 감지된 디바이스의 네트워크 맵, 센서에서 발생하는 모든 이벤트의 타임라인, 센서 정보를 파트너 시스템에 전달하는 등의 네트워크 맵을 볼 수 있습니다. 예시:
온-프레미스 관리 콘솔. 공기가 틈새가 있는 환경에서는 추가 기본 테넌트 도구 및 보고 기능을 사용하여 온-프레미스 관리 콘솔 모든 센서의 데이터를 중앙에서 볼 수 있습니다.

온-프레미스 관리 콘솔의 소프트웨어 버전은 최신 센서 버전의 소프트웨어 버전과 동일해야 합니다. 각 온-프레미스 관리 콘솔 버전은 지원되는 이전 센서 버전과 호환되지만 최신 센서 버전에는 연결할 수 없습니다.

자세한 내용은 Air-gapped OT 센서 관리 배포 경로를 참조 하세요.

Defender for IoT에서 모니터링되는 디바이스

Defender for IoT는 모든 환경에서 모든 유형의 모든 디바이스를 검색할 수 있습니다. 디바이스는 고유한 IP 및 MAC 주소 결합을 기반으로 하는 Defender for IoT 디바이스 인벤토리 페이지에 나열됩니다.

Defender for IoT는 다음과 같이 단일 및 고유 디바이스를 식별합니다.

Type	설명
개별 디바이스로 식별됨	개별 디바이스로 식별되는 디바이스는 다음과 같습니다. 스위치 및 라우터와 같은 네트워크 인프라 디바이스를 포함하여 하나 이상의 NIC가 있는 IT, OT 또는 IoT 디바이스 참고: 모듈 또는 백플레인 구성 요소가 있는 디바이스(예: 랙 또는 슬롯)는 모든 모듈 또는 백플레인 구성 요소를 포함하여 단일 디바이스로 계산됩니다.
개별 디바이스로 식별되지 않음	다음 항목 은 개별 디바이스로 간주되지 않으며 라이선스에 포함되지 않습니다. - 공용 인터넷 IP 주소 - 다중 캐스트 그룹 - 브로드캐스트 그룹 - 비활성 디바이스 네트워크 모니터링 디바이스는 지정된 시간 내에 네트워크 활동이 검색되지 않으면 비활성으로 표시됩니다. - OT 네트워크: 60일 이상 네트워크 활동이 검색되지 않음 - 엔터프라이즈 IoT 네트워크: 30일 이상 네트워크 활동이 검색되지 않음 참고: 엔드포인트용 Defender에서 이미 관리되는 엔드포인트는 Defender for IoT에서 별도의 디바이스로 간주되지 않습니다.

Type

설명

개별 디바이스로 식별됨

개별 디바이스로 식별되는 디바이스는 다음과 같습니다.
스위치 및 라우터와 같은 네트워크 인프라 디바이스를 포함하여 하나 이상의 NIC가 있는 IT, OT 또는 IoT 디바이스

참고: 모듈 또는 백플레인 구성 요소가 있는 디바이스(예: 랙 또는 슬롯)는 모든 모듈 또는 백플레인 구성 요소를 포함하여 단일 디바이스로 계산됩니다.

개별 디바이스로 식별되지 않음

다음 항목 은 개별 디바이스로 간주되지 않으며 라이선스에 포함되지 않습니다.

- 공용 인터넷 IP 주소
- 다중 캐스트 그룹
- 브로드캐스트 그룹
- 비활성 디바이스

네트워크 모니터링 디바이스는 지정된 시간 내에 네트워크 활동이 검색되지 않으면 비활성으로 표시됩니다.

- OT 네트워크: 60일 이상 네트워크 활동이 검색되지 않음
- 엔터프라이즈 IoT 네트워크: 30일 이상 네트워크 활동이 검색되지 않음

참고: 엔드포인트용 Defender에서 이미 관리되는 엔드포인트는 Defender for IoT에서 별도의 디바이스로 간주되지 않습니다.

다음 단계

네트워크 아키텍처 이해 »