학습된 OT 경고 기준 만들기
이 문서는 Microsoft Defender for IoT를 통한 OT 모니터링을 위한 배포 경로를 설명하는 일련의 문서 중 하나이며, OT 센서에서 학습된 트래픽의 기준을 만드는 방법을 설명합니다.
학습 모드 이해
OT 네트워크 센서는 네트워크에 연결되고 사용자가 로그인한 후 자동으로 네트워크를 모니터링하기 시작합니다. 네트워크 디바이스가 디바이스 인벤토리에 표시되기 시작하고 네트워크에서 발생하는 보안 또는 운영 인시던트에 대해 경고가 트리거됩니다.
처음에 이 활동은 학습 모드에서 발생하며, OT 센서가 네트워크의 디바이스 및 프로토콜을 비롯한 네트워크의 일반적인 활동과 특정 디바이스 간에 발생하는 일반 파일 전송을 학습하도록 지시합니다. 정기적으로 검색되는 모든 활동은 네트워크의 기준 트래픽이 됩니다.
팁
학습 모드에서 시간을 사용하여 경고를 심사하고 승인된 예상 활동으로 표시하려는 경고를 알아봅니다. 학습된 트래픽은 다음에 동일한 트래픽이 검색될 때 새 경고를 생성하지 않습니다.
학습 모드가 꺼지면 기준 데이터와 다른 모든 활동이 경고를 트리거합니다.
자세한 내용은 Microsoft Defender for IoT 경고를 참조하세요.
학습 모드 타임라인
네트워크 크기 및 복잡성에 따라 OT 경고의 기준을 만드는 데 며칠에서 몇 주가 걸릴 수 있습니다. 센서가 새로 검색된 트래픽의 감소를 감지하면 학습 모드가 자동으로 꺼집니다. 이는 일반적으로 배포 후 2~6주 사이입니다.
현재 경고가 네트워크 활동을 정확하게 반영한다고 생각되면 그 전에 수동으로 학습 모드를 해제합니다.
필수 조건
Azure Portal, OT 센서 또는 온-프레미스 관리 콘솔에서 이 문서의 절차를 수행할 수 있습니다.
시작하기 전에 다음이 있는지 확인합니다.
보안 분석가 또는 관리 사용자로 OT 센서에 액세스합니다. 자세한 내용은 Defender for IoT를 사용한 OT 모니터링을 위한 온-프레미스 사용자 및 역할을 참조하세요.
경고 심사
배포가 끝날 때까지 경고를 심사하여 네트워크 활동에 대한 초기 기준을 만듭니다.
OT 센서에 로그인하고 경고 페이지를 선택합니다.
정렬 및 그룹화 옵션을 사용하여 가장 중요한 경고를 먼저 봅니다. 각 경고를 검토하여 상태를 업데이트하고 OT 권한 있는 트래픽에 대한 경고를 알아봅니다.
자세한 내용은 OT 센서에서 경고 보기 및 관리를 참조하세요.
다음 단계
학습 모드가 꺼지면 학습 모드에서 작업 모드로 전환됩니다. 다음 중 하나를 계속 진행합니다.
- Azure Monitor 통합 문서를 사용하여 Microsoft Defender for IoT 데이터 시각화
- Azure Portal에서 경고 보기 및 관리
- Azure Portal에서 디바이스 인벤토리 관리
Defender for IoT 데이터를 Microsoft Sentinel과 통합하여 SOC 팀의 보안 모니터링을 통합합니다. 자세한 내용은 다음을 참조하세요.