Microsoft Defender for IoT 구성 요소
IoT 시스템용 Microsoft Defender는 다양한 데이터 원본에서 광범위한 적용 범위와 가시성을 제공하도록 빌드되었습니다.
다음 이미지에서는 데이터를 네트워크 센서 및 타사 원본에서 Defender for IoT로 스트림하여 IoT/OT 보안에 대한 통합 보기를 제공하는 방법을 보여 줍니다. Azure Portal의 IoT용 Defender는 자산 인벤토리, 취약성 평가 및 연속 위협 모니터링을 제공합니다.
IoT용 Defender는 클라우드 및 온-프레미스 구성 요소에 모두 연결되며, 지리적으로 분산된 대규모 환경의 확장성에 맞게 빌드됩니다.
Defender for IoT에는 다음과 같은 OT 보안 모니터링 구성 요소가 포함되어 있습니다.
The Azure portal - Microsoft Sentinel과 같은 다른 Microsoft 서비스에 대한 클라우드 관리 및 통합용
OT(운영 기술) 또는 엔터프라이즈 IoT 네트워크 센서: 네트워크에서 디바이스를 검색합니다. Defender for IoT 네트워크 센서는 가상 머신 또는 실제 어플라이언스에 배포됩니다. OT 센서는 클라우드 연결 센서 또는 완전 온-프레미스, 로컬 관리 센서로 구성할 수 있습니다.
OT 및 Enterprise IoT 네트워크 센서
Defender for IoT 네트워크 센서는 네트워크 디바이스에서 네트워크 트래픽을 검색하고 지속적으로 모니터링합니다.
네트워크 센서는 OT/IoT 네트워크용으로 특별히 빌드되었으며 SPAN 포트 또는 네트워크 TAP에 연결됩니다. Defender for IoT 네트워크 센서는 네트워크에 연결한 후 몇 분 안에 위험에 대한 표시 유형을 제공할 수 있습니다.
네트워크 센서는 OT/IoT 인식 분석 엔진과 계층 6 DPI(딥 패킷 검사)를 사용하여 비정상 또는 무단 작업을 기반으로 하여 파일리스 맬웨어와 같은 위협을 탐지합니다.
데이터 수집, 처리, 분석 및 경고는 센서에서 직접 이루어지므로 대역폭이 낮거나 연결 대기 시간이 긴 위치에 이상적일 수 있습니다. 관리를 위해 원격 분석 및 인사이트만 Azure Portal로 전송됩니다.
자세한 내용은 Defender for IoT OT 배포 경로를 참조하세요.
클라우드 연결 대 로컬 OT 센서
클라우드 연결 센서는 Azure의 IoT용 Defender에 연결된 센서이며 다음과 같이 로컬로 관리되는 센서와 다릅니다.
네트워크 센서에 연결된 클라우드가 있는 경우:
센서에서 감지하는 모든 데이터는 센서 콘솔에 표시되지만, 경고 정보도 Azure로 전달되어 다른 Azure 서비스와 분석하고 공유할 수 있습니다.
Microsoft 위협 인텔리전스 패키지는 클라우드 연결 센서에 자동으로 푸시할 수 있습니다.
온보딩 중에 정의된 센서 이름은 센서에 표시되는 이름이며, 센서 콘솔에서 읽기 전용입니다.
이와 대조적으로 로컬로 관리되는 센서를 사용하는 경우 다음과 같습니다.
센서 콘솔에서 특정 센서에 대한 데이터를 봅니다.
위협 인텔리전스 패키지를 로컬로 관리되는 센서에 수동으로 업로드해야 합니다.
센서 이름은 센서 콘솔에서 업데이트할 수 있습니다.
자세한 내용은 센서 콘솔에서 OT 센서 관리를 참조 하세요.
Defender for IoT 분석 엔진
Defender for IoT 네트워크 센서는 기본 제공 분석 엔진을 사용하여 수집된 데이터를 분석하고 실시간 및 사전 기록된 트래픽을 기반으로 경고를 트리거합니다.
분석 엔진은 기계 학습 및 프로필 분석, 위험 분석, 디바이스 데이터베이스 및 인사이트 세트, 위협 인텔리전스, 동작 분석을 제공합니다.
예를 들어 정책 위반 검색 엔진은 NISTIR 8219에 설명된 대로 BAD(동작 이상 탐지)를 활용하여 예상되는 "기준"에서 벗어나는 동작을 탐지하기 위해 ICS(산업 제어 시스템) 네트워크를 모델링합니다. 이 기준은 일반 트래픽 패턴, 사용자 작업 및 ICS 네트워크에 대한 액세스와 같이 네트워크에서 발생하는 정상적인 활동을 이해하여 개발됩니다. 그런 다음 BAD 시스템은 네트워크에서 예상에서 벗어나는 동작을 모니터링하고 정책 위반에 플래그를 지정합니다. 기준에서 벗어난 동작의 예로 함수 코드의 무단 사용, 특정 개체에 대한 액세스, 디바이스 구성 변경 등이 있습니다.
많은 검색 알고리즘이 OT 네트워크가 아닌 IT 네트워크를 위해 빌드되었으므로 ICS 네트워크에 대한 추가 기준은 새로운 검색에 대한 시스템 학습 곡선을 단축하는 데 도움이 됩니다.
Defender for IoT 네트워크 센서에는 다음과 같은 기본 분석 엔진이 포함됩니다.
| 이름 | 설명 | 예제 |
|---|---|---|
| 프로토콜 위반 검색 엔진 | ICS 프로토콜 사양을 위반하는 패킷 구조 및 필드 값의 사용을 식별합니다. 프로토콜 위반은 패킷 구조 또는 필드 값이 프로토콜 사양을 준수하지 않을 때 발생합니다. |
"불법 MODBUS 작업(함수 코드 0)" 경고는 기본 디바이스가 보조 디바이스에 함수 코드 0이 포함된 요청을 전송했음을 나타냅니다. 이 작업은 프로토콜 사양에 따라 허용되지 않으며, 보조 디바이스에서 입력을 올바르게 처리하지 못할 수 있습니다. |
| 정책 위반 | 정책 위반은 학습되거나 구성된 설정에 정의된 기준 동작에서의 편차가 있을 때 발생합니다. | "권한이 부여되지 않은 HTTP 사용자 에이전트" 경고는 정책에 의해 학습되거나 권한이 부여되지 않은 애플리케이션이 디바이스에서 HTTP 클라이언트로 사용됨을 나타냅니다. 이는 해당 디바이스의 새 웹 브라우저 또는 애플리케이션일 수 있습니다. |
| 산업용 맬웨어 탐지 엔진 | Conficker, Black Energy, Havex, WannaCry, NotPetya 및 Triton과 같은 알려진 맬웨어를 통한 악의적인 네트워크 활동의 존재를 나타내는 동작을 식별합니다. | "악의적인 작업 의심(Stuxnet)" 경고는 센서가 Stuxnet 맬웨어와 관련된 것으로 알려진 의심스러운 네트워크 활동을 검색했음을 나타냅니다. 이 맬웨어는 산업용 제어 및 SCADA 네트워크를 목표로 하는 지능형 지속 공격입니다. |
| 변칙 검색 엔진 | 일상적이지 않은 M2M(컴퓨터 간) 통신 및 동작을 탐지합니다. 이 엔진은 ICS 네트워크를 모델링하므로 IT용으로 개발된 분석보다 짧은 학습 기간이 필요합니다. 가양성을 최소화하면서 변칙 징후를 더 빠르게 검색합니다. |
"통신 채널의 주기적인 동작" 경고는 산업용 네트워크에서 일반적으로 발생하는 데이터 전송의 주기적이고 순환 동작을 반영합니다. 다른 예로는 과도한 SMB 로그인 시도 및 PLC 검사 검색 경고가 있습니다. |
| 운영 인시던트 검색 | 장비 오류의 초기 신호를 나타낼 수 있는 간헐적 연결과 같은 운영 문제를 검색합니다. | 디바이스가 미리 정의된 기간 동안 어떤 종류의 요청에도 응답하지 않으면 "디바이스가 연결이 끊긴 것으로 의심됨(응답하지 않음)" 경고가 트리거됩니다. 이 경고는 디바이스 종료, 연결 끊기 또는 오작동을 나타낼 수 있습니다. 또 다른 예는 Siemens S7 중지 PLC 명령이 경고를 보낸 경우일 수 있습니다. |
관리 옵션
IoT용 Defender는 다음과 같은 관리 옵션을 사용하여 하이브리드 네트워크 지원을 제공합니다.
Azure Portal. Azure Portal을 단일 창으로 사용하여 클라우드에 연결된 네트워크 센서를 통해 디바이스에서 수집된 모든 데이터를 볼 수 있습니다. Azure Portal은 통합 문서, Microsoft Sentinel 연결, 보안 권장 사항 등과 같은 추가 가치를 제공합니다.
또한 Azure Portal을 사용하여 새 어플라이언스 및 소프트웨어 업데이트를 가져오고, IoT용 Defender에서 센서를 온보딩 및 유지 관리하며, 위협 인텔리전스 패키지를 업데이트합니다. 예시:
OT 센서 콘솔. 센서 콘솔에서 특정 OT 센서에 연결된 디바이스에 대한 검색을 봅니다. 센서 콘솔을 사용하여 해당 센서가 검색한 디바이스의 네트워크 맵, 센서에서 발생하는 모든 이벤트의 타임라인, 센서 정보를 파트너 시스템에 전달하는 등의 작업을 볼 수 있습니다. 예시:
Defender for IoT에서 모니터링되는 디바이스
Defender for IoT는 모든 환경에서 모든 유형의 모든 디바이스를 검색할 수 있습니다. 디바이스는 고유한 IP 및 MAC 주소 결합을 기반으로 하는 Defender for IoT 디바이스 인벤토리 페이지에 나열됩니다.
Defender for IoT는 다음과 같이 단일 디바이스와 고유한 디바이스를 식별합니다.
| Type | 설명 |
|---|---|
| 개별 디바이스로 식별됨 | 개별 디바이스로 식별되는 디바이스는 다음과 같습니다. 스위치 및 라우터와 같은 네트워크 인프라 디바이스를 포함하여 하나 이상의 NIC가 있는 IT, OT 또는 IoT 디바이스 참고: 모듈 또는 백플레인 구성 요소가 있는 디바이스(예: 랙 또는 슬롯)는 모든 모듈 또는 백플레인 구성 요소를 포함하여 단일 디바이스로 계산됩니다. |
| 개별 디바이스로 식별되지 않음 | 다음 항목은 개별 디바이스로 간주하지 않으며 라이선스에 포함되지 않습니다. - 퍼블릭 인터넷 IP 주소 - 멀티캐스트 그룹 - 브로드캐스트 그룹 - 비활성 디바이스 네트워크 모니터링 디바이스는 지정된 시간 내에 네트워크 활동이 검색되지 않으면 비활성으로 표시됩니다. - OT 네트워크: 60일 이상 네트워크 활동이 검색되지 않음 - 엔터프라이즈 IoT 네트워크: 30일 이상 네트워크 활동이 검색되지 않음 참고: 엔드포인트용 Defender에서 이미 관리되는 엔드포인트는 Defender for IoT에서 별도의 디바이스로 간주하지 않습니다. |