다음을 통해 공유

Microsoft Defender for IoT와 Palo Alto 통합

  • 아티클

이 문서에서는 Palo Alto와 Defender for IoT 정보를 모두 한 곳에서 보거나 Defender for IoT 데이터를 사용하여 Palo Alto에서 차단 작업을 구성하기 위해 Palo Alto를 Microsoft Defender for IoT와 통합하는 방법을 설명합니다.

Defender for IoT와 Palo Alto 정보를 함께 보면 SOC 분석가에게 다차원적인 표시 여부를 제공하여 중요한 위협을 더 빠르게 차단할 수 있습니다.

클라우드 기반 통합

클라우드 기반 보안 통합은 중앙 집중식, 간단한 센서 관리, 중앙 집중식 보안 모니터링과 같은 온-프레미스 솔루션에 비해 몇 가지 이점을 제공합니다.

다른 이점으로는 실시간 모니터링, 효율적인 리소스 사용, 확장성 및 견고성 향상, 보안 위협 방지 개선, 간소화된 유지 관리 및 업데이트, 타사 솔루션과의 원활한 통합 등이 있습니다.

클라우드 연결 OT 센서를 Palo Alto와 통합하는 경우 Defender for IoT를 Microsoft Sentinel에 연결하는 것이 좋습니다.

Microsoft Sentinel에서 Palo Alto 및 Defender for IoT 데이터를 모두 보려면 다음 솔루션 중 하나 이상을 설치합니다.

Microsoft Sentinel 솔루션 자세한 정보
Palo Alto PAN-OS 솔루션 Microsoft Sentinel용 Palo Alto Networks(방화벽) 커넥터
Palo Alto Networks Cortex Data Lake 솔루션 Microsoft Sentinel용 Palo Alto Networks CDL(Cortex Data Lake) 커넥터
Palo Alto Prisma Cloud CSPM 솔루션 Microsoft Sentinel용 Palo Alto Prisma Cloud CSPM(Azure 함수 사용) 커넥터

Microsoft Sentinel은 SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화된 응답)을 위한 확장성 있는 클라우드 서비스입니다. SOC 팀은 Microsoft Defender for IoT와 Microsoft Sentinel 간의 통합을 사용하여 네트워크에서 데이터를 수집하고, 위협을 검색 및 조사하고, 인시던트에 대응할 수 있습니다.

Microsoft Sentinel에서 Defender for IoT 데이터 커넥터 및 솔루션은 기본 제공 보안 콘텐츠를 SOC 팀에 제공하여 OT 보안 경고를 확인, 분석 및 대응하고 더 광범위한 조직 위협 콘텐츠에서 생성된 인시던트를 이해할 수 있도록 지원합니다.

자세한 내용은 다음을 참조하세요.

온-프레미스 통합

에어 갭이 있고 로컬로 관리되는 OT 센서를 사용하는 경우 동일한 장소에서 Defender for IoT 및 Palo Alto 정보를 보려면 온-프레미스 솔루션이 필요합니다.

이러한 경우 syslog 파일을 Palo Alto에 직접 보내도록 OT 센서를 구성하거나 Defender for IoT 기본 제공 API를 사용하는 것이 좋습니다.

자세한 내용은 다음을 참조하세요.

온-프레미스 통합(레거시)

이 섹션에서는 Palo Alto Network의 NMS 및 Panorama에서 새 정책을 자동으로 만드는 레거시 온-프레미스 통합을 사용하여 Microsoft Defender for IoT와 Palo Alto를 통합하고 사용하는 방법을 설명합니다.

Important

레거시 Palo Alto Panorama 통합은 센서 버전 23.1.3을 사용하여 2024년 10월까지 지원되며 예정된 주요 소프트웨어 버전에서는 지원되지 않습니다. 레거시 통합을 사용하는 고객의 경우 다음 방법 중 하나로 전환하는 것이 좋습니다.

다음 표는 이 통합의 대상이 되는 인시던트를 보여 줍니다.

인시던트 유형 설명
권한 없는 PLC 변경 디바이스의 사다리 논리 또는 펌웨어에 대한 업데이트입니다. 이 경고는 합법적인 작업이나 디바이스를 손상시키려는 시도를 나타낼 수 있습니다. 예를 들어 RAT(원격 액세스 트로이) 또는 물리적 프로세스를 야기하는 회전 터빈과 같은 악성 코드가 안전하지 않은 방식으로 작동할 수 있습니다.
프로토콜 위반 프로토콜 사양을 위반하는 패킷 구조 또는 필드 값입니다. 이 경고는 잘못 구성된 애플리케이션 또는 디바이스를 손상시키려는 악의적 시도를 나타낼 수 있습니다. 대상 디바이스에서 버퍼 오버플로 조건을 발생시키는 경우를 예로 들 수 있습니다.
PLC 중지 디바이스가 작동을 중지하여 PLC가 제어하는 실제 프로세스에 위험을 발생시키는 명령입니다.
ICS 네트워크에서 발견된 산업용 맬웨어 기본 프로토콜을 사용하여 ICS 디바이스를 조작하는 맬웨어(예: TRITON, Industroyer) Defender for IoT는 ICS 및 SCADA 환경으로 수평 이동한 IT 맬웨어도 탐지합니다. Conficker, WannaCry 및 NotPetya를 예로 들 수 있습니다.
맬웨어 검사 공격 전 단계에서 시스템 구성에 대한 데이터를 수집하는 정찰 도구입니다. 예를 들어 Havex 트로이 목마는 Windows 기반 SCADA 시스템에서 ICS 디바이스와 통신하는 데 사용하는 표준 프로토콜인 OPC를 사용하는 디바이스를 산업용 네트워크에서 검색합니다.

Defender for IoT가 미리 구성된 사용 사례를 검색하면 소스 차단 단추가 경고에 추가됩니다. 그런 다음 Defender for IoT 사용자가 소스 차단 단추를 선택하면 Defender for IoT는 미리 정의된 전달 규칙을 전송하여 Panorama에 대한 정책을 만듭니다.

이 정책은 Panorama 관리자가 네트워크의 관련 NGFW로 푸시하는 경우에만 적용됩니다.

IT 네트워크에는 동적 IP 주소가 있을 수 있습니다. 따라서 해당 서브넷에 대해 정책은 IP 주소가 아닌 FQDN(DNS 이름)을 기준으로 해야 합니다. Defender for IoT는 역방향 조회를 수행하고 동적 IP 주소를 사용하는 디바이스를 구성된 시간마다 FQDN(DNS 이름)과 일치시킵니다.

또한 Defender for IoT는 관련 Panorama 사용자에게 메일을 보내 Defender for IoT에서 만든 새 정책이 승인 대기 중임을 알립니다. 아래 그림은 Defender for IoT 및 Panorama 통합 아키텍처를 보여 줍니다.

Diagram of the Defender for IoT-Panorama Integration Architecture.

필수 조건

시작하기 전에 다음 필수 조건을 갖추고 있는지 확인합니다.

  • Panorama 관리자가 자동 차단을 허용하도록 확인해야 합니다.
  • Defender for IoT OT 센서에 관리 사용자로 액세스합니다.

DNS 조회 구성

Defender for IoT에서 Panorama 차단 정책을 만드는 첫 번째 단계는 DNS 조회를 구성하는 것입니다.

DNS 조회를 구성하려면 다음을 수행합니다.

  1. OT 센서에 로그인하고 시스템 설정>네트워크 모니터링>DNS 역방향 조회를 선택합니다.

  2. 조회를 사용하도록 설정하려면 사용 토글을 켭니다.

  3. 역방향 조회 예약 필드에서 예약 옵션을 정의합니다.

    • 특정 시간 기준: 매일 역방향 조회를 수행할 시간을 지정합니다.
    • 고정 간격(시간) 기준: 역방향 조회를 수행할 빈도를 설정합니다.

  4. + DNS 서버 추가를 선택한 후 다음 세부 정보를 추가합니다.

    매개 변수 설명
    DNS 서버 주소 네트워크 DNS 서버의 IP 주소 또는 FQDN을 입력합니다.
    DNS 서버 포트 DNS 서버에 쿼리하는 데 사용되는 포트를 입력합니다.
    레이블 수 DNS FQDN 확인을 구성하려면 표시할 도메인 레이블 수를 추가합니다.
    왼쪽에서 오른쪽으로 최대 30자까지 표시됩니다.
    서브넷 동적 IP 주소 서브넷 범위를 설정합니다.
    Defender for IoT가 현재 FQDN 이름과 일치하도록 DNS 서버의 IP 주소를 역방향으로 조회하는 범위입니다.

  5. DNS 설정이 올바른지 확인하려면 테스트를 선택합니다. 테스트를 통해 DNS 서버 IP 주소 및 DNS 서버 포트가 올바르게 설정되었는지 확인합니다.

  6. 저장을 선택합니다.

완료되면 필요에 따라 전달 규칙을 만들어 계속합니다.

지정된 Palo Alto 방화벽을 통해 즉각적인 차단 구성

차단 명령을 특정 Palo Alto 방화벽에 직접 보내도록 Defender for IoT 전달 규칙을 구성하여 맬웨어 관련 경고와 같은 경우 자동 차단을 구성합니다.

Defender for IoT는 심각한 위협을 식별하는 경우 감염된 소스를 차단하는 옵션이 포함된 경고를 보냅니다. 경고 세부 정보에서 소스 차단을 선택하면 전달 규칙이 활성화되어 지정된 Palo Alto 방화벽으로 차단 명령이 전송됩니다.

전달 규칙을 만들 때:

  1. 작업 영역에서 Palo Alto NGFW에 대한 서버, 호스트, 포트 및 자격 증명을 정의합니다.

  2. Palo Alto 방화벽이 의심스러운 소스를 차단할 수 있도록 다음 옵션을 구성합니다.

    매개 변수 설명
    불법 함수 코드 차단 프로토콜 위반 - ICS 프로토콜 사양을 위반하는 잘못된 필드 값(잠재적 익스플로잇)입니다.
    권한 없는 PLC 프로그래밍/펌웨어 업데이트 차단 권한 없는 PLC 변경
    권이 없는 PLC 중지 차단 PLC 중지(가동 중지 시간).
    맬웨어 관련 경고 차단 산업용 맬웨어 시도(TRITON, NotPetya 등) 차단.

    자동 차단 옵션을 선택할 수 있습니다.
    이 경우 차단이 자동으로 즉시 실행됩니다.
    권한 없는 검사 차단 무단 스캐닝(잠재적 정찰).

자세한 내용은 온-프레미스 OT 경고 정보 전달을 참조하세요.

Palo Alto 방화벽을 통해 의심스러운 트래픽 차단

Palo Alto 방화벽을 사용하여 의심스러운 트래픽을 차단하도록 Defender for IoT 전달 규칙을 구성합니다.

전달 규칙을 만들 때:

  1. 작업 영역에서 Palo Alto NGFW에 대한 서버, 호스트, 포트 및 자격 증명을 정의합니다.

  2. 다음과 같이 차단 실행 방법을 정의합니다.

    • IP 주소: 항상 IP 주소에 따라 파노라마에 차단 정책을 만듭니다.
    • FQDN 또는 IP 주소: FQDN이 있는 경우 이에 따라 파노라마에 차단 정책을 만들고, 그렇지 않으면 IP 주소를 따라 만듭니다.

  3. 이메일 필드에 정책 알림 이메일의 이메일 주소를 입력합니다.

    참고 항목

    Defender for IoT에서 메일 서버를 구성했는지 확인합니다. 메일 주소를 입력하지 않으면 Defender for IoT에서 알림 메일을 보내지 않습니다.

  4. Palo Alto Panorama가 의심스러운 소스를 차단할 수 있도록 다음 옵션을 구성합니다.

    매개 변수 설명
    불법 함수 코드 차단 프로토콜 위반 - ICS 프로토콜 사양을 위반하는 잘못된 필드 값(잠재적 익스플로잇)입니다.
    권한 없는 PLC 프로그래밍/펌웨어 업데이트 차단 권한 없는 PLC 변경
    권이 없는 PLC 중지 차단 PLC 중지(가동 중지 시간).
    맬웨어 관련 경고 차단 산업용 맬웨어 시도(TRITON, NotPetya 등) 차단.

    자동 차단 옵션을 선택할 수 있습니다.
    이 경우 차단이 자동으로 즉시 실행됩니다.
    권한 없는 검사 차단 무단 스캐닝(잠재적 정찰).

자세한 내용은 온-프레미스 OT 경고 정보 전달을 참조하세요.

특정 의심스러운 소스 차단

전달 규칙을 만든 후 다음 단계에 따라 의심스러운 특정 소스를 차단합니다.

  1. OT 센서의 경고 페이지에서 Palo Alto 통합과 관련된 경고를 찾아서 선택합니다.

  2. 의심스러운 소스를 자동으로 차단하려면 소스 차단을 선택합니다.

  3. 확인 대화 상자에서 확인을 선택합니다.

이제 Palo Alto 방화벽이 의심스러운 소스를 차단합니다.

다음 단계

Microsoft 및 파트너 서비스와 통합