(Azure)와의 Microsoft Defender for IoT 통합 지원 취약성 대응

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 4분

    • 데이터 매핑 및 오류 처리에 관한 질문은 이 섹션을 참조할 수 있습니다.

    데이터 매핑

    다음 테이블에서는 IoT용 Microsoft Defender(Azure) 애플리케이션에서 취약성 탐지 및 NVD(국가 취약성 데이터베이스) 항목에 사용되는 데이터 매핑 필드와 데이터를 ServiceNow CMDB
    표 1. 취약성 탐지
    IoT용 Microsoft Defender(Azure) 필드 ServiceNow 필드
    해당 사항 없음 소스
    주:
    항상 이 필드를 Microsoft Azure Defender for IoT로 설정합니다.
    이름 detection_key
    해당 사항 없음 상태
    주:
    이 필드는 기본적으로 0으로 설정되어 있으며 이는 오픈 의미입니다.
    표 2. NVD 항목
    IoT용 Microsoft Defender(Azure) 필드 ServiceNow 필드
    properties/vulnerabilityId ID
    소스
    주:
    이 필드는 기본적으로 NVD 로 설정됩니다.
    속성/description 요약
    속성/score 점수
    properties/exploittype 익스플로잇 있음

    API 데이터에서 익스플로잇이 존재함을 나타내면 통합에서 이 필드를 로 설정합니다.
    properties/exploittype public_exploit

    API 데이터에서 익스플로잇이 존재함을 나타내면 통합에서 이 필드를 로 설정합니다.
    CI(구성 항목) 조회
    CI 조회는 ()AzureMicrosoft Defender for IoTdeviceid를 사용하여 수행됩니다. 서비스 그래프 커넥터로 채워진 sys_object_source 테이블은 일치하는 deviceid를 검색합니다. 일치하는 항목이 발견되면 탐지 및 취약한 항목이 해당 CI에 연결됩니다.
    주:
    기본적으로 취약성 탐지를 삽입하려면 CI 일치가 필요합니다. 이렇게 하면 에서 분류되지 않은 하드웨어 CI를 CMDB최소화할 수 있습니다. 이 동작을 변경하려면 sn_msftd4iotazvr.require_ci_matchsystem 속성을 false로 설정할 수 있습니다. 속성을 false로 설정하면 CI 일치가 없는 경우 분류되지 않은 하드웨어 CI를 만들 수 있습니다.

    오류 처리

    통합은 대부분 사전 구성되도록 설계되었으므로 Azure 테넌트 ID, 클라이언트 ID 및 클라이언트 암호만 입력하면 됩니다. 애플리케이션의 로그 메시지는 sn_msftd4iotazvr 소스의 시스템 로그에서 볼 수 있습니다. sn_vul 소스에서 추가 관련 로그 메시지도 나타날 수 있습니다.

    통합 실행에 실패하면 통합 실행의 메모 필드에 오류가 표시됩니다. 상태가 완료로 설정되고 하위 상태는 실패입니다.

    임포트 큐(sn_vul_ds_import_q_entry) 테이블에는 보류 중인 모든 변환 요청이 포함되어 있습니다. 이 테이블을 필터링하여 현재 변환 중인 항목을 보기 위해 처리 중상태의 항목만 표시할 수 있습니다.

    다음 테이블에서는 데이터 검색 및 데이터 처리 중에 발생하는 오류 메시지와 가능한 원인에 대해 설명합니다.

    표 3. 취약성 탐지 통합(데이터 검색)
    오류 메시지 가능한 원인

    지정된 REST 메시지 및 REST 메서드 없이 통합을 실행할 수 없음

    		 탐지 통합 작업 기록에서 REST 메시지 또는 REST 메서드 필드가 채워지지 않습니다.

    IoT용 Microsoft Defender(Azure) oauth_client_id 지정하지 않으면 통합을 실행할 수 없음

    		 통합 인스턴스에서는 OAuth 클라이언트 ID 가 채워지지 않습니다.

    지정된 IoT용 Microsoft Defender(Azure) oauth_client_secret 없으면 통합을 실행할 수 없음

    		 통합 인스턴스에서 OAuth 클라이언트 비밀 은 채워지지 않습니다.

    지정된 탐지 API 자원 경로 없이 통합을 실행할 수 없음

    통합 인스턴스에서 탐지 API 자원 경로가 채워지지 않습니다.

    기본값은 https://management.azure.com/providers/Microsoft.ResourceGraph/resources 입니다.

    지정된 API 버전과의 통합을 실행할 수 없음

    통합 인스턴스에서 API 버전이 채워지지 않습니다.

    기본값은 2021-03-01입니다.

    IoT용 Microsoft Defender(Azure)에서 잘못된 응답 코드 {response code}를 수신함

    Microsoft API의 응답이 잘못되었습니다.

    예를 들어 IoT용 Microsoft Defender(Azure)에서 받은 잘못된 응답 코드 401은 권한 없음을 의미합니다. 자격 증명 또는 OAuth 토큰이 잘못되었을 수 있습니다.
    JSON 응답 본문을 구문 분석하지 못함 구문 분석할 수 없는 경우 수신된 JSON 응답이 잘못된 것입니다. 이는 데이터가 수신되지 않았음을 의미합니다. 자격 증명이 올바르고 다른 오류가 발생하지 않는지 확인합니다.

    첨부 파일 쓰기 중 오류 발생

    		 시스템에서 응답 데이터를 데이터 소스에 첨부할 수 없습니다. 추가 문제 해결을 위해 시스템 관리자에게 문의해야 할 수 있습니다. 이 오류의 일반적인 원인은 MID 서버 또는 실행 사용자에게 sn_vul.vr_import_admin 역할이 없기 때문입니다.

    첨부 파일 컨텐츠가 null임: 첨부 파일 sys_id = {sys_id}

    		 데이터 소스 첨부 파일 컨텐츠가 null입니다. 이는 Microsoft API 자체 ServiceNow에 문제가 있거나 . 자세한 문제 해결은 시스템 관리자에게 문의하십시오.

    sys_id {sys_id}이(가) 있는 첨부 파일을 찾을 수 없음

    		 데이터 소스 첨부 파일을 찾을 수 없습니다. 이는 Microsoft API 자체 ServiceNow에 문제가 있거나 . 자세한 문제 해결은 시스템 관리자에게 문의하십시오.
    표 4. 취약성 탐지 통합(데이터 처리)
    오류 메시지 가능한 원인

    취약성 ID 없이 탐지를 생성할 수 없음

    		 기록에 대한 취약성 ID가 없습니다. 이는 Microsoft API 문제로 인해 발생할 가능성이 큽니다.