학습된 OT 경고 기준 만들기

이 문서는 Microsoft Defender for IoT를 통한 OT 모니터링을 위한 배포 경로를 설명하는 일련의 문서 중 하나이며, OT 센서에서 학습된 트래픽의 기준을 만드는 방법을 설명합니다.

학습 모드 이해

OT 네트워크 센서는 네트워크에 연결되고 사용자가 로그인한 후 자동으로 네트워크를 모니터링하기 시작합니다. 네트워크 디바이스가 디바이스 인벤토리에 표시되기 시작하고 네트워크에서 발생하는 보안 또는 운영 인시던트에 대해 경고가 트리거됩니다.

처음에 이 활동은 학습 모드에서 발생하며, OT 센서가 네트워크의 디바이스 및 프로토콜을 비롯한 네트워크의 일반적인 활동과 특정 디바이스 간에 발생하는 일반 파일 전송을 학습하도록 지시합니다. 정기적으로 검색되는 모든 활동은 네트워크의 기준 트래픽이 됩니다.

팁

학습 모드에서 시간을 사용하여 경고를 심사하고 승인된 예상 활동으로 표시하려는 경고를 알아봅니다. 학습된 트래픽은 다음에 동일한 트래픽이 검색될 때 새 경고를 생성하지 않습니다.

학습 모드가 꺼지면 기준 데이터와 다른 모든 활동이 경고를 트리거합니다.

자세한 내용은 Microsoft Defender for IoT 경고를 참조하세요.

학습 모드 타임라인

네트워크 크기 및 복잡성에 따라 OT 경고의 기준을 만드는 데 며칠에서 몇 주가 걸릴 수 있습니다. 2~6주 후에는 일일 경고 수가 관리 가능한 수준으로 감소할 때 학습 모드를 동적 모드로 수동으로 변경하는 것이 좋습니다. 동적 모드에서 Defender for IoT는 의심스러운 트래픽에 대한 네트워크를 계속 모니터링하고, 경고를 트리거하며, 특정 기간 동안 경고가 트리거되지 않는 경우 경고 범주를 작업 모드로 자동으로 이동합니다.

작동 모드에서 생성된 모든 경고는 인벤토리에 나열되며 경고 세부 정보 창에 나열된 작업에 따라 수정해야 합니다. 안전한 네트워크 트래픽에 의해 경고가 트리거된 경우 학습 단추를 사용하여 센서가 나중에 이에 대한 경고를 생성하지 않도록 이 트래픽을 기준 목록에 추가해야 합니다.

경고 수준이 네트워크 활동을 정확하게 반영하는 경우 학습 모드를 수동으로 해제합니다.

필수 조건

Azure Portal 또는 OT 센서에서 이 문서의 절차를 수행할 수 있습니다.

시작하기 전에 다음이 있는지 확인합니다.

• 검색된 트래픽에 의해 경고가 트리거되는 OT 센서가 설치, 구성 및 활성화됩니다.

• 보안 분석가 또는 관리 사용자로 OT 센서에 액세스합니다. 자세한 내용은 Defender for IoT를 사용한 OT 모니터링을 위한 온-프레미스 사용자 및 역할을 참조하세요.

경고 심사

배포가 끝날 때까지 경고를 심사하여 네트워크 활동에 대한 초기 기준을 만듭니다.

1. OT 센서에 로그인하고 경고 페이지를 선택합니다.

2. 정렬 및 그룹화 옵션을 사용하여 가장 중요한 경고를 먼저 봅니다. 각 경고를 검토하여 상태를 업데이트하고 OT 권한 있는 트래픽에 대한 경고를 알아봅니다.

자세한 내용은 OT 센서에서 경고 보기 및 관리를 참조하세요.

다음 단계

« 검색된 디바이스 인벤토리 확인 및 업데이트

학습 모드가 꺼지면 학습 모드에서 작업 모드로 전환됩니다. 다음 중 하나를 계속 진행합니다.

• Azure Monitor 통합 문서를 사용하여 Microsoft Defender for IoT 데이터 시각화
• Azure Portal에서 경고 보기 및 관리
• Azure Portal에서 디바이스 인벤토리 관리

Defender for IoT 데이터를 Microsoft Sentinel과 통합하여 SOC 팀의 보안 모니터링을 통합합니다. 자세한 내용은 다음을 참조하세요.

• 자습서: Microsoft Sentinel과 Microsoft Defender for IoT 연결
• 자습서: IoT 디바이스에 대한 위협 조사 및 검색