OT 네트워크 센서에서 위협 인텔리전스 패키지 유지 관리
Microsoft 보안 팀은 독점적인 ICS 위협 인텔리전스 및 취약성 연구를 지속적으로 실행합니다. 보안 연구는 Microsoft의 클라우드 인프라 및 서비스, 기존 제품 및 디바이스, 내부 회사 리소스에 대한 보안 검색, 분석 및 응답을 제공합니다.
Microsoft Defender for IoT는 OT 네트워크 센서에 대한 위협 인텔리전스 패키지 업데이트를 정기적으로 제공하여 팀이 경고를 심사하고 우선 순위를 지정하는 데 도움이 되는 알려진 관련 위협 및 인사이트로부터 향상된 보호를 제공합니다.
위협 인텔리전스 패키지에는 맬웨어 서명, CVE 및 기타 보안 콘텐츠와 같은 서명이 포함되어 있습니다.
표시된 CVE 점수는 NVD(National Vulnerability Database)와 일치하며, 관련 점수가 있는 경우 CVSS v3 점수가 표시됩니다. 관련 CVSS v3 점수가 없으면 CVSS v2 점수가 대신 표시됩니다.
팁
OT 네트워크 센서에 항상 최신 위협 인텔리전스 패키지를 설치하여 환경이 영향을 받기 전에 항상 위협의 전체 컨텍스트를 파악하고 관련성, 정확도 및 실행 가능한 권장 사항을 높이는 것이 좋습니다.
새 패키지에 대한 발표는 TechCommunity 블로그에서 볼 수 있습니다.
사용 권한
이 문서의 절차를 수행하려면 다음이 있어야 합니다.
하나 이상의 OT 센서가 Azure에 온보딩되었습니다.
업데이트하려는 Azure Portal 및 모든 OT 네트워크 센서 또는 온-프레미스 관리 콘솔에 대한 관련 권한이 있어야 합니다.
자세한 내용은 Defender for IoT에 대한 Azure 사용자 역할 및 권한 및 Defender for IoT를 사용한 OT 모니터링을 위한 온-프레미스 사용자 및 역할을 참조하세요.
최신 위협 인텔리전스 패키지 보기
Defender for IoT에서 사용 가능한 최신 패키지 보기:
Azure Portal에서 사이트 및 센서>위협 인텔리전스 업데이트(미리 보기)>로컬 업데이트를 선택합니다. 사용 가능한 최신 패키지에 대한 세부 정보는 Sensor TI 업데이트 창에 표시됩니다. 예시:
위협 인텔리전스 패키지 업데이트
다음 방법 중 하나를 사용하여 OT 센서에서 위협 인텔리전스 패키지를 업데이트합니다.
- 업데이트가 릴리스되면 자동으로 클라우드에 연결된 OT 센서에 업데이트를 푸시합니다.
- 업데이트를 클라우드에 연결된 OT 센서에 수동으로 푸시합니다.
- 업데이트 패키지를 다운로드하고 OT 센서에 수동으로 업로드합니다. 또는 온-프레미스 관리 콘솔에 패키지를 업로드하고 여기에서 연결된 OT 센서로 업데이트를 푸시합니다.
업데이트를 클라우드 연결 센서에 자동으로 푸시
Defender for IoT에서 릴리스될 때 클라우드에 연결된 센서에 위협 인텔리전스 패키지를 자동으로 업데이트할 수 있습니다.
자동 패키지 업데이트가 수행될 수 있도록 자동 위협 인텔리전스 업데이트 옵션을 사용해서 클라우드에 연결된 센서를 온보딩합니다. 자세한 내용은 Defender for IoT에 OT 센서 온보딩을 참조하세요.
OT 센서를 온보딩한 후 업데이트 모드를 변경하려면:
- Azure Portal의 Defender for IoT에서 사이트 및 센서를 선택한 다음 변경하려는 센서를 찾습니다.
- 선택한 OT 센서 >편집에 대한 옵션(...) 메뉴를 선택합니다.
- 필요에 따라 자동 위협 인텔리전스 업데이트 옵션을 켜거나 끕니다.
업데이트를 클라우드 연결 센서에 수동으로 푸시
위협 인텔리전스 패키지를 사용하여 클라우드에 연결된 센서를 자동으로 업데이트할 수 있습니다. 더욱 보수적인 접근 방법을 원하는 경우에는 필요할 때만 Defender for IoT에서 패키지를 센서에 푸시할 수 있습니다. 업데이트를 수동으로 푸시하면 패키지를 다운로드한 다음 센서에 업로드할 필요 없이 패키지 설치 시기를 제어할 수 있습니다.
단일 OT 센서에 업데이트를 수동으로 푸시하려면:
- Azure Portal의 Defender for IoT에서 사이트 및 센서를 선택하고 업데이트할 OT 센서를 찾습니다.
- 선택한 센서의 옵션(...) 메뉴를 선택한 다음 위협 인텔리전스 업데이트 푸시를 선택합니다.
위협 인텔리전스 업데이트 상태 필드에 업데이트 진행 상태가 표시됩니다.
여러 OT 센서에 업데이트를 수동으로 푸시하려면:
- Azure Portal의 Defender for IoT에서 사이트 및 센서를 선택합니다. 업데이트할 OT 센서를 찾아 선택합니다.
- 위협 인텔리전스 업데이트(미리 보기)>원격 업데이트를 선택합니다.
위협 인텔리전스 업데이트 상태 필드에는 선택한 각 센서의 업데이트 진행률이 표시됩니다.
로컬로 관리되는 센서 수동 업데이트
로컬로 관리되는 OT 센서로 작업하는 경우 업데이트된 위협 인텔리전스 패키지를 다운로드하고 센서에 수동으로 업로드해야 합니다.
온-프레미스 관리 콘솔로도 작업하는 경우 위협 인텔리전스 패키지를 온-프레미스 관리 콘솔에 업로드하고 여기에서 업데이트를 푸시하는 것이 좋습니다.
팁
이 옵션은 Azure Portal에서 업데이트를 푸시하지 않으려는 경우 클라우드 연결 센서에도 사용할 수 있습니다.
위협 인텔리전스 패키지를 다운로드하려면:
Azure Portal의 Defender for IoT에서 사이트 및 센서>위협 인텔리전스 업데이트(미리 보기)>로컬 업데이트를 선택합니다.
Sensor TI 업데이트 창에서 다운로드를 선택하여 최신 위협 인텔리전스 파일을 다운로드합니다.
Azure Portal에서 다운로드한 모든 파일은 신뢰할 수 있는 루트에서 서명하므로 컴퓨터는 서명된 자산만 사용합니다.
단일 센서를 업데이트하려면:
OT 센서에 로그인한 다음 시스템 설정>위협 인텔리전스를 선택합니다.
위협 인텔리전스 창에서 파일 업로드를 선택합니다. 예시:
Azure Portal에서 다운로드한 패키지를 찾아 선택하고 센서에 업로드합니다.
여러 센서를 동시에 업데이트하려면:
온-프레미스 관리 콘솔에 로그인하고 시스템 설정을 선택합니다.
센서 엔진 구성 영역에서 업데이트된 패키지를 받을 센서를 선택합니다. 예시:
센서 위협 인텔리전스 데이터 섹션에서 더하기 기호(+)를 선택합니다.
파일 업로드 대화 상자에서 파일 찾아보기...를 선택하여 업데이트 패키지를 찾아 선택합니다. 예시:
닫기를 선택한 다음 변경 내용 저장을 선택하여 선택한 모든 센서에 위협 인텔리전스 업데이트를 푸시합니다.
위협 인텔리전스 업데이트 상태 검토
각 OT 센서에서 위협 인텔리전스 업데이트 상태 및 버전 정보는 센서의 시스템 설정 > 위협 인텔리전스 설정에 표시됩니다.
클라우드 연결 OT 센서의 경우 위협 인텔리전스 데이터는 사이트 및 센서 페이지에도 표시됩니다. Azure Portal에서 위협 인텔리전스 상태를 보려면 다음을 수행합니다.
Azure Portal의 Defender for IoT에서 사이트 및 센서를 선택합니다.
위협 인텔리전스 상태를 확인하려는 OT 센서를 찾습니다.
OT 센서에 대한 다음 열의 값에 유의합니다.
열 이름 설명 위협 인텔리전스 버전 버전 이름 지정은 Defender for IoT에서 패키지를 빌드한 날짜를 기준으로 합니다. 위협 인텔리전스 모드 자동이면 새로 사용 가능한 패키지가 Defender for IoT에서 릴리스될 때 센서에 자동으로 설치됩니다.
수동이면 새로 사용 가능한 패키지를 필요에 따라 센서에 직접 푸시할 수 있습니다.위협 인텔리전스 업데이트 상태 다음 상태 중 하나를 표시합니다.
- 실패함
- 진행 중
- 업데이트 사용 가능
- Ok
팁
클라우드에 연결된 OT 센서에 위협 인텔리전스 업데이트가 실패했다고 표시되면 센서 연결 세부 정보를 확인하는 것이 좋습니다. 사이트 및 센서 페이지에서 센서 상태 및 마지막으로 연결된 UTC 열을 확인합니다.
다음 단계
자세한 내용은 다음을 참조하세요.