학습된 OT 경고 기준 만들기

이 문서는 Microsoft Defender for IoT를 통한 OT 모니터링을 위한 배포 경로를 설명하는 일련의 문서 중 하나이며, OT 센서에서 학습된 트래픽의 기준을 만드는 방법을 설명합니다.

다단계 모니터링 프로세스 개요

OT 네트워크 센서는 네트워크에 연결하고 로그인한 후 자동으로 네트워크 모니터링을 시작합니다. 네트워크 디바이스가 디바이스 인벤토리에 표시되기 시작하고 네트워크에서 발생하는 보안 또는 운영 인시던트에 대해 경고가 트리거됩니다.

Defender for IoT는 네트워크의 정상적인 트래픽 동작을 학습하는 3단계 모니터링 프로세스를 사용합니다. 이러한 세 단계는 불필요한 경고를 줄이면서 정확한 검색을 보장합니다.

1. 학습 모드
2. 동적 모드
3. 작동 모드

모니터링 단계 요약

모드	목적	경고 트리거	필요한 사용자 작업
학습	일반 네트워크 트래픽의 기준을 빌드합니다.	맬웨어 경고, 변칙 경고, 운영 경고, 프로토콜 위반 경고	2~6주 후 또는 기준이 정확한 네트워크 활동을 반영하는 경우 수동으로 끄기
동적	정책 위반 경고를 점진적으로 도입하면서 기준을 구체화하여 정확도를 보장하고 경고 노이즈를 줄입니다.	정책 위반 경고가 도입됨	선택 사항: 특정 시나리오에 대한 설정 조정(예: POC 중)
작동	안정적인 기준선을 사용하여 모든 네트워크 트래픽을 모니터링하여 편차 또는 의심스러운 활동을 반영하도록 모든 경고를 트리거합니다.	모든 유형의 경고	없음 기준이 안정화되면 자동으로 전환됩니다.

학습 모드

처음에는 센서가 학습 모드에서 실행되어 모든 네트워크 트래픽을 모니터링하고 모든 일반 트래픽 패턴의 기준을 작성합니다. 이 기준에는 네트워크의 모든 디바이스 및 프로토콜과 디바이스 간에 발생하는 일반 파일 전송이 포함됩니다. 이 프로세스는 일반적으로 네트워크 크기 및 복잡성에 따라 2~6주가 걸립니다. 또한 나중에 검색된 모든 디바이스는 네트워크 트래픽 기준을 설정하기 위해 7일 동안 학습 모드로 전환됩니다.

학습 모드에서 센서는 맬웨어, 변칙 및 운영 경고와 같은 관련 보안 경고를 트리거하여 환경을 모니터링하고 보호합니다. 그러나 시스템이 학습 모드에 있는 동안 기준선의 편차를 나타내는 정책 위반 경고는 트리거되지 않습니다.

동적 모드

검색 프로세스 및 네트워크 트래픽이 안정되면 학습 모드를 수동으로 해제해야 합니다. 이 시점에서 센서는 동적 모드로 전환됩니다. 동적 모드에서 센서는 네트워크를 계속 모니터링하여 기준선의 유효성을 검사하고 구체화합니다. 센서는 각 경고 범주 및 시나리오를 개별적으로 평가하여 기준이 정확한 것으로 확인되면 동적으로 작업 모드로 변경합니다. 또는 센서가 트래픽의 중요한 변화를 감지하는 경우 특정 경고 또는 시나리오에 대한 학습 모드를 자동으로 확장할 수 있습니다.

동적 모드에서는 정책 위반 경고가 점진적으로 도입되어 경고 인벤토리에 표시되기 시작합니다.

작동 모드

센서가 기준이 안정적임을 확인하고 완료되면 자동으로 작동 모드로 전환되어 모든 네트워크 트래픽을 모니터링하고 모든 경고 유형을 트리거합니다.

학습 모드가 꺼지고 시나리오가 운영 모드로 전환되고 특정 작업을 권한 있는 작업 또는 예상 작업으로 표시하려는 경우 학습 작업이 관련됩니다. 학습된 후에는 유사한 활동이 나중에 새 경고를 생성하지 않습니다.

경고 수준이 네트워크 활동을 정확하게 반영하는 경우 학습 모드를 수동으로 해제합니다.

자세한 내용은 Microsoft Defender for IoT 경고를 참조하세요.

필수 조건

Azure Portal 또는 OT 센서에서 이 문서의 절차를 수행할 수 있습니다.

시작하기 전에 다음이 있는지 확인합니다.

• 검색된 트래픽에 의해 트리거되는 경고와 함께 OT 센서가 설치, 구성 및 활성화되었습니다.

• 보안 분석가 또는 관리 사용자로 OT 센서에 액세스합니다. 자세한 내용은 Defender for IoT를 사용한 OT 모니터링을 위한 온-프레미스 사용자 및 역할을 참조하세요.

경고 심사

배포가 끝날 때까지 경고를 심사하여 네트워크 활동에 대한 초기 기준을 만듭니다.

1. OT 센서에 로그인하고 경고 페이지를 선택합니다.

2. 정렬 및 그룹화 옵션을 사용하여 가장 중요한 경고를 먼저 봅니다. 각 경고를 검토하여 상태를 업데이트하고 OT 권한 있는 트래픽에 대한 경고를 알아봅니다.

자세한 내용은 OT 센서에서 경고 보기 및 관리를 참조하세요.

다음 단계

« 검색된 디바이스 인벤토리 확인 및 업데이트

학습 모드가 꺼지고 학습 모드에서 작업 모드로 이동한 후에는 다음 중 한 가지 작업을 계속합니다.

• Azure Monitor 통합 문서를 사용하여 Microsoft Defender for IoT 데이터 시각화
• Azure Portal에서 경고 보기 및 관리
• Azure Portal에서 디바이스 인벤토리 관리

Defender for IoT 데이터를 Microsoft Sentinel과 통합하여 SOC 팀의 보안 모니터링을 통합합니다. 자세한 내용은 다음을 참조하세요.

• 자습서: Microsoft Sentinel과 Microsoft Defender for IoT 연결
• 자습서: IoT 디바이스에 대한 위협 조사 및 검색