Microsoft Defender XDR의 경고 및 인시던트
이제 클라우드용 Microsoft Defender가 Microsoft Defender XDR과 통합되었습니다. 이 통합을 통해 보안 팀은 Microsoft Defender 포털 내에서 클라우드용 Defender 경고 및 인시던트에 액세스할 수 있습니다. 이 통합은 클라우드 리소스, 디바이스 및 ID를 포괄하는 조사에 대한 보다 풍부한 컨텍스트를 제공합니다.
Microsoft Defender XDR과의 파트너 관계를 통해 보안 팀은 클라우드 환경에서 발생하는 의심스럽고 악의적인 이벤트를 포함하여 공격에 대한 전체 그림을 가져올 수 있습니다. 보안 팀은 경고와 인시던트의 즉각적인 상관 관계를 통해 이 목표를 달성할 수 있습니다.
Microsoft Defender XDR은 보호, 검색, 조사 및 응답 기능을 결합한 포괄적인 솔루션을 제공합니다. 이 솔루션은 디바이스, 이메일, 협업, ID 및 클라우드 앱에 대한 공격으로부터 보호합니다. 검색 및 조사 기능은 이제 클라우드 엔터티로 확장되어 보안 운영 팀에 단일 창을 제공하여 운영 효율성을 크게 개선합니다.
인시던트 및 경고는 이제 Microsoft Defender XDR의 공용 API의 일부입니다. 이 통합을 통해 단일 API를 사용하여 보안 경고 데이터를 모든 시스템으로 내보낼 수 있습니다. 클라우드용 Microsoft Defender는 사용자에게 가능한 최고의 보안 솔루션을 제공하기 위해 최선을 다하고 있으며, 이번 통합은 해당 목표를 달성하기 위한 중요한 단계입니다.
Microsoft Defender XDR 조사 환경
다음 표에서는 클라우드용 Defender 경고가 포함된 Microsoft Defender XDR의 검색 및 조사 환경에 대해 설명합니다.
| 영역 | 설명 |
|---|---|
| 인시던트 | 모든 클라우드용 Defender 인시던트는 Microsoft Defender XDR에 통합됩니다. - 인시던트 큐에서 클라우드 리소스 자산 검색이 지원됩니다. - 공격 사례 그래프에는 클라우드 리소스가 표시됩니다. - 인시던트 페이지의 자산 탭에는 클라우드 리소스가 표시됩니다. - 각 가상 머신에는 관련된 모든 경고 및 작업이 포함된 자체 엔터티 페이지가 있습니다. 다른 Defender 워크로드에서 발생한 인시던트는 중복되지 않습니다. |
| 경고 | 다중 클라우드, 내부 및 외부 공급자의 경고를 포함한 모든 클라우드용 Defender 경고는 Microsoft Defender XDR에 통합되어 있습니다. 클라우드용 Defender 경고는 Microsoft Defender XDR 경고 큐에 표시됩니다. Microsoft Defender XDR cloud resource 자산은 경고의 자산 탭에 표시됩니다. 리소스는 Azure, Amazon 또는 Google Cloud 리소스로 명확하게 식별됩니다. 클라우드용 Defender 경고는 자동으로 테넌트와 연결됩니다. 다른 Defender 워크로드의 경고는 중복되지 않습니다. |
| 경고 및 인시던트 상관 관계 | 경고와 인시던트는 자동으로 상호 관련되어 보안 운영 팀이 클라우드 환경의 전체 공격 스토리를 이해할 수 있도록 강력한 컨텍스트를 제공합니다. |
| 위협 감지 | 정밀하고 효과적인 위협 감지를 보장하기 위해 가상 엔터티와 디바이스 엔터티를 정확하게 일치시킵니다. |
| Unified API | 이제 클라우드용 Defender 경고 및 인시던트가 Microsoft Defender XDR의 공용 API에 포함되어 고객이 하나의 API를 사용하여 보안 경고 데이터를 다른 시스템으로 내보낼 수 있습니다. |
Microsoft Defender XDR의 경고 처리에 대해 자세히 알아봅니다.
XDR의 고급 헌팅
Microsoft Defender XDR의 고급 헌팅 기능은 클라우드용 Defender 경고 및 인시던트를 포함하도록 확장되었습니다. 이 통합을 통해 보안 팀은 단일 쿼리로 모든 클라우드 리소스, 디바이스 및 ID를 쿼리할 수 있습니다.
Microsoft Defender XDR의 고급 쿼리 환경은 보안 팀이 환경 전반에서 위협을 쿼리하기 위한 사용자 지정 쿼리를 만들 수 있는 유연성을 제공하도록 설계되었습니다. 클라우드용 Defender 경고 및 인시던트와의 통합을 통해 보안 팀은 클라우드 리소스, 디바이스 및 ID 전반에서 위협을 헌팅할 수 있습니다.
고급 헌팅의 CloudAuditEvents 테이블을 사용하면 컨트롤 플레인 이벤트를 조사 및 검색하고 의심스러운 Azure Resource Manager 및 Kubernetes(KubeAudit) 컨트롤 플레인 활동을 표시하는 사용자 지정 검색을 만들 수 있습니다.
고급 헌팅의 CloudProcessEvents 테이블을 사용하면 프로세스 세부 정보에 대한 세부 정보가 포함된 정보를 사용하여 클라우드 인프라에서 호출되는 의심스러운 활동에 대한 사용자 지정 검색을 심사, 조사 및 만들 수 있습니다.
Microsoft Sentinel 고객
Microsoft의 SecOps(통합 보안 작업) 플랫폼에 온보딩한 Microsoft Sentinel 고객인 경우 클라우드용 Defender 경고가 이미 Defender XDR에 직접 수집되어 있습니다. 기본 제공 보안 콘텐츠를 활용하려면 Microsoft Sentinel 콘텐츠 허브에서 클라우드용 Microsoft Defender 솔루션을 설치해야 합니다.
Microsoft의 통합 SecOps 플랫폼을 사용하지 않는 Microsoft Sentinel 고객은 Microsoft 365 Defender 인시던트 및 경고 커넥터를 사용하여 작업 영역에서 Microsoft 365 Defender와 클라우드용 Defender 통합을 활용할 수도 있습니다.
먼저 Microsoft 365 Defender 커넥터에서 인시던트 통합을 사용하도록 설정해야 합니다.
그런 다음 테넌트 기반 클라우드용 Microsoft Defender(미리 보기) 데이터 커넥터를 사용하도록 설정하여 Microsoft 365 Defender 인시던트 커넥터를 통해 스트리밍하도록 테넌트 기반 클라우드용 Defender 인시던트와 구독을 동기화합니다.
테넌트 기반 클라우드용 Microsoft Defender(미리 보기) 데이터 커넥터는 Microsoft Sentinel 콘텐츠 허브의 클라우드용 Microsoft Defender 솔루션 버전 3.0.0을 통해 사용할 수 있습니다. 이 솔루션의 이전 버전이 있는 경우 솔루션 버전을 업데이트하는 것이 좋습니다. 여전히 구독 기반 클라우드용 Microsoft Defender(레거시) 데이터 커넥터를 사용하도록 설정한 경우 로그에 중복 경고가 발생하지 않도록 커넥터 연결을 끊는 것이 좋습니다.
또한 클라우드용 Microsoft Defender 경고에서 직접 인시던트 생성 분석 규칙을 사용하지 않도록 설정하는 것이 좋습니다. Microsoft Sentinel 자동화 규칙을 사용하여 인시던트 즉시 닫고 특정 유형의 클라우드용 Defender 경고가 인시던트가 되는 것을 방지하거나 Microsoft Defender 포털의 기본 제공 튜닝 기능을 사용하여 경고가 인시던트가 되는 것을 방지합니다.
Microsoft 365 Defender 인시던트가 Microsoft Sentinel에 통합되어 있고 구독 기반 설정을 유지하고 테넌트 기반 동기화를 방지하려는 경우 Microsoft 365 Defender 커넥터를 사용하여 인시던트 및 경고 동기화를 옵트아웃할 수 있습니다.
자세한 내용은 다음을 참조하세요.
- 기본적으로 제공되는 Microsoft Sentinel 콘텐츠 발견 및 관리
- Microsoft Defender XDR 통합을 사용하여 클라우드용 Microsoft Defender 인시던트 수집
- 데이터 보안을 클라우드용 Microsoft Defender.