다음을 통해 공유


Microsoft Defender XDR에서 엔터프라이즈 IoT 모니터링 시작

이 문서에서는 엔드포인트용 Microsoft Defender 고객이 Microsoft Defender XDR의 추가 보안 가치를 사용하여 해당 환경에서 엔터프라이즈 IoT 디바이스를 모니터링하는 방법을 설명합니다.

엔드포인트용 Defender P2 고객은 IoT 디바이스 인벤토리를 이미 사용할 수 있지만 엔터프라이즈 IoT 보안을 켜면 엔터프라이즈 네트워크의 IoT 디바이스용으로 특별히 빌드된 경고, 권장 사항 및 취약성 데이터가 추가됩니다.

IoT 디바이스에는 프린터, 카메라, VOIP 휴대폰, 스마트 TV 등이 포함됩니다. 예를 들어 엔터프라이즈 IoT 보안을 켜면 Microsoft Defender XDR의 권장 사항을 사용하여 서버와 프린터 모두에서 취약한 애플리케이션을 패치하기 위한 단일 IT 티켓을 열 수 있습니다.

필수 조건

이 문서의 절차를 시작하기 전에 엔터프라이즈에서 IoT 디바이스 보호를 읽어 엔드포인트용 Defender와 Defender for IoT 간의 통합에 대해 자세히 알아보세요.

아래와 같은 파일과 버전이 있어야 합니다.

  • Microsoft Defender XDR 디바이스 인벤토리에 표시되는 네트워크의 IoT 디바이스

  • 보안 관리자로 Microsoft Defender 포털에 액세스

  • 사용자 환경에 배포된 엔드포인트용 Microsoft Defender 에이전트입니다. 자세한 내용은 엔드포인트용 Microsoft Defender로 온보딩을 참조하세요.

  • 다음 라이선스 중 하나:

    • Microsoft 365 E5(ME5) 또는 E5 보안 라이선스

    • 추가 독립 실행형 Microsoft Defender for IoT - EIoT 디바이스 라이선스 - 추가 항목 라이선스가 있는 엔드포인트용 Microsoft Defender P2는 Microsoft 365 관리 센터에서 구매 또는 평가판으로 사용할 수 있습니다.

    독립 실행형 라이선스가 있는 경우 Enterprise IoT Security를 전환할 필요가 없으며 Microsoft Defender XDR에서 추가된 보안 값 보기로 직접 건너뛸 수 있습니다.

    자세한 내용은 Microsoft Defender XDR의 Enterprise IoT 보안을 참조하세요.

Enterprise IoT 모니터링 켜기

이 절차에서는 Microsoft Defender XDR에서 엔터프라이즈 IoT 모니터링을 켜는 방법을 설명하며 ME5/E5 보안 고객에게만 적용됩니다.

다음 유형의 라이선스 플랜 중 하나가 있는 경우 이 절차를 건너뛰세요.

  • 레거시 Enterprise IoT 가격 플랜 및 ME5/E5 보안 라이선스가 있는 고객
  • 엔드포인트 P2용 Microsoft Defender에 추가된 독립 실행형 디바이스별 라이선스가 있는 고객 이러한 경우 Enterprise IoT 보안 설정이 읽기 전용으로 설정됩니다.

Enterprise IoT 모니터링을 켜려면 다음을 수행합니다.

  1. Microsoft Defender XDR에서 설정>디바이스 검색>엔터프라이즈 IoT를 선택합니다.

참고 항목

설정>엔드포인트>고급 기능에서 Device Discovery를 켰는지 확인합니다.

  1. Enterprise IoT 보안 옵션을 켜기로 전환합니다. 예시:

    Microsoft Defender XDR에서 전환된 Enterprise IoT의 스크린샷

Microsoft Defender XDR에서 추가된 보안 값 보기

이 절차에서는 Enterprise IoT 보안 옵션이 켜져 있는 경우 Microsoft Defender XDR의 특정 디바이스에 대한 관련 경고, 권장 사항 및 취약성을 보는 방법을 설명합니다.

추가된 보안 값을 보려면 다음을 수행합니다.

  1. Microsoft Defender XDR에서 자산>디바이스를 선택하여 디바이스 인벤토리 페이지를 엽니다.

  2. 자세한 내용은 IoT 디바이스 탭을 선택하고 특정 디바이스 IP를 선택하여 드릴다운합니다. 예시:

    Microsoft Defender XDR의 IoT 디바이스 탭의 스크린샷.

  3. 디바이스 세부 정보 페이지에서 다음 탭을 탐색하여 디바이스에 대한 엔터프라이즈 IoT 보안에 의해 추가된 데이터를 봅니다.

    • 경고 탭에서 디바이스에서 트리거되는 경고를 확인합니다. Microsoft 365 Defender 평가 및 자습서 페이지에서 사용할 수 있는 Raspberry Pi 시나리오를 사용하여 Microsoft 365 Defender for Enterprise IoT의 경고를 시뮬레이션합니다.

      고급 헌팅 쿼리를 설정하여 사용자 지정 경고 규칙을 만들 수도 있습니다. 자세한 내용은 엔터프라이즈 IoT 모니터링에 대한 샘플 고급 헌팅 쿼리를 참조하세요.

    • 보안 권장 사항 탭에서 위험을 줄이고 더 작은 공격 표면을 유지하기 위해 디바이스에 사용할 수 있는 권장 사항을 확인합니다.

    • 검색된 취약성 탭에서 디바이스와 연결된 알려진 CVE를 확인합니다. 알려진 CVE는 디바이스를 패치, 제거 또는 포함할지 여부를 결정하고 네트워크에 대한 위험을 완화하는 데 도움이 될 수 있습니다. 또는 고급 헌팅 쿼리를 사용하여 모든 디바이스에서 취약성을 수집하세요.

위협을 헌팅하려면 다음을 수행합니다.

디바이스 인벤토리 페이지에서 헌팅하기를 선택하여 DeviceInfo 테이블과 같은 테이블을 사용하여 디바이스를 쿼리합니다. 고급 헌팅 페이지에서 다른 스키마를 사용하여 데이터를 쿼리합니다.

Enterprise IoT에 대한 샘플 고급 헌팅 쿼리

이 섹션에서는 Enterprise for IoT 보안을 사용하여 IoT 디바이스를 모니터링하고 보호하는 데 도움이 되는 Microsoft 365 Defender에서 사용할 수 있는 샘플 고급 헌팅 쿼리를 나열합니다.

특정 형식 또는 하위 유형별로 디바이스 찾기

다음 쿼리를 사용하여 라우터와 같은 디바이스 유형별로 회사 네트워크에 있는 디바이스를 식별합니다.

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId
| where DeviceType == "NetworkDevice" and DeviceSubtype == "Router"  

IoT 디바이스에 대한 취약성 찾기 및 내보내기

다음 쿼리를 사용하여 IoT 디바이스의 모든 취약성을 나열합니다.

DeviceInfo
| where DeviceCategory =~ "iot"
| join kind=inner DeviceTvmSoftwareVulnerabilities on DeviceId

자세한 내용은 고급 헌팅고급 헌팅 스키마에 대한 이해를 참조하세요.

다음 단계