다음을 통해 공유

자산 인벤토리 검토

  • 아티클

클라우드용 Microsoft Defender 자산 인벤토리 페이지에는 클라우드용 Defender 연결한 리소스의 보안 태세가 표시됩니다. 클라우드용 Defender는 구독에 연결된 리소스의 보안 상태를 주기적으로 분석하여 잠재적인 보안 문제를 식별하고 활성 권장 사항을 제공합니다. 활성 권장 사항은 보안 태세를 개선하기 위해 해결할 수 있는 권장 사항입니다.

클라우드용 Defender 연결된 리소스의 보안 상태를 주기적으로 분석합니다. 리소스에 연결된 활성 보안 권장 사항 또는 보안 경고 가 있는 경우 인벤토리에 표시됩니다.

인벤토리 페이지에서는 다음에 대한 정보를 제공합니다.

  • 연결된 리소스. 클라우드용 Defender 연결된 리소스를 빠르게 확인합니다.
  • 전체 보안 상태: 클라우드용 Defender 연결된 총 리소스, 환경별 리소스 및 비정상 리소스 수를 포함하여 연결된 Azure, AWS 및 GCP 리소스의 보안 상태에 대한 명확한 요약을 가져옵니다.
  • 권장 사항, 경고: 특정 리소스의 상태를 드릴다운하여 리소스에 대한 활성 보안 권장 사항 및 보안 경고를 확인합니다.
  • 위험 우선 순위 지정: 위험 기반 권장 사항은 데이터 민감도, 인터넷 노출, 횡적 이동 가능성 및 잠재적 공격 경로와 같은 요인에 따라 위험 수준을 권장 사항에 할당합니다.
  • 위험 우선 순위 지정은 Defender CSPM 계획을 사용할 때 사용할 수 있습니다.
  • 소프트웨어. 설치된 애플리케이션을 통해 리소스를 검토할 수 있습니다. 소프트웨어 인벤토리를 활용하려면 Defender CSPM(Cloud Security Posture Management) 계획 또는 서버용 Defender 계획을 사용하도록 설정해야 합니다.

인벤토리는 ARG(Azure Resource Graph)를 사용하여 대규모로 데이터를 쿼리하고 검색합니다. 심층적인 사용자 지정 인사이트를 위해 KQL을 사용하여 인벤토리를 쿼리할 수 있습니다.

인벤토리 검토

  1. Azure Portal의 클라우드용 Defender 인벤토리를 선택합니다. 기본적으로 리소스는 활성 보안 권장 사항 수에 따라 정렬됩니다.
  2. 사용 가능한 설정을 검토합니다.
    • 검색에서 무료 텍스트 검색을 사용하여 리소스를 찾을 수 있습니다.
    • 총 리소스는 클라우드용 Defender 연결된 리소스 수를 표시합니다.
    • 비정상 리소스는 활성 보안 권장 사항 및 경고가 있는 리소스 수를 표시합니다.
    • 환경별 리소스 수: Azure, AWS 및 GCP 리소스의 합계입니다.
  3. 세부 정보를 드릴다운할 리소스를 선택합니다.
  4. 리소스에 대한 Resource Health 페이지에서 리소스에 대한 정보를 검토합니다.
    • 권장 사항 탭에는 위험 순서대로 활성 보안 권장 사항이 표시됩니다. 각 권장 사항으로 드릴다운하여 자세한 내용 및 수정 옵션을 확인할 수 있습니다.
    • 경고 탭에는 관련 보안 경고가 표시됩니다.

소프트웨어 인벤토리 검토

클라우드용 Microsoft Defender 자산 인벤토리 페이지의 주요 기능을 보여 주는 스크린샷

  1. 설치된 애플리케이션 선택
  2. 에서 필터링할 앱을 선택합니다.
  • 전체 리소스: 클라우드용 Defender에 연결된 총 리소스 수입니다.
  • 비정상 리소스: 구현할 수 있는 활성 보안 권장 사항이 있는 리소스입니다. 보안 권장 사항 구현에 대해 자세히 알아보기
  • 환경별 리소스 수: 각 환경의 리소스 수입니다.
  • 등록되지 않은 구독: 선택한 범위에서 Azure 클라우드용 Microsoft Defender에 아직 연결되지 않은 구독입니다.
  1. 클라우드용 Defender 연결되고 해당 앱을 실행하는 리소스가 표시됩니다. 빈 옵션에는 엔드포인트용 Defender/Defender를 사용할 수 없는 컴퓨터가 표시됩니다.

인벤토리 필터링

필터를 적용하는 즉시 요약 값이 쿼리 결과와 관련되도록 업데이트됩니다.

3 - 도구 내보내기

CSV 보고서 다운로드 - 선택한 필터 옵션의 결과를 CSV 파일로 내보냅니다.

쿼리 열기 - 쿼리 자체를 ARG(Azure Resource Graph)로 내보내 KQL(Kusto 쿼리 언어) 쿼리를 추가로 구체화, 저장 또는 수정합니다.

자산 인벤토리는 어떻게 작동하나요?

미리 정의된 필터 외에도 Resource Graph Explorer에서 소프트웨어 인벤토리 데이터를 탐색할 수 있습니다.

ARG는 대규모로 쿼리를 하는 기능을 갖춘 효율적인 리소스 탐색을 제공하도록 설계되었습니다.

자산 인벤토리에서 KQL(Kusto 쿼리 언어)을 사용하여 다른 리소스 속성과 함께 클라우드용 Defender 데이터를 상호 참조하여 심층적인 인사이트를 빠르게 생성할 수 있습니다.

자산 인벤토리를 사용하는 방법

  1. 클라우드용 Defender의 사이드바에서 인벤토리를 선택합니다.

  2. 이름별 필터링 상자를 사용하여 특정 리소스를 표시하거나 필터를 사용하여 특정 리소스에 집중합니다.

    기본적으로 리소스는 활성 보안 권장 사항 수를 기준으로 정렬됩니다.

    Important

    각 필터의 옵션은 현재 선택한 구독의 리소스 다른 필터에서 선택한 항목에만 적용됩니다.

    예를 들어 구독을 하나만 선택하고 구독에 해결되지 않은 보안 권장 사항이 포함된 리소스가 없는 경우(비정상 리소스 0개) 권장 사항 필터에 옵션이 표시되지 않습니다.

  3. 보안 결과 필터를 사용하려면 취약성 찾기의 ID, 보안 검사 또는 CVE 이름에서 자유 텍스트를 입력하여 영향을 받는 리소스로 필터링합니다.

    보안 결과 필터를 설정하는 방법을 보여 주는 스크린샷

    보안 결과태그 필터는 단일 값만 허용합니다. 둘 이상의 값을 사용하려면 필터 추가를 사용합니다.

  4. 현재 선택한 필터 옵션을 Resource Graph 탐색기에서 쿼리로 보려면 쿼리 열기를 선택합니다.

    ARG의 인벤토리 쿼리

  5. 일부 필터를 정의하고 페이지를 열어 두면 클라우드용 Defender 결과를 자동으로 업데이트하지 않습니다. 수동으로 페이지를 다시 로드하거나 새로 고침을 선택하지 않는 한 리소스에 대한 변경 내용은 표시된 결과에 영향을 주지 않습니다.

소프트웨어 인벤토리에 액세스

소프트웨어 인벤토리에 액세스하려면 다음 계획 중 하나가 필요합니다.

Azure Resource Graph Explorer를 사용하여 소프트웨어 인벤토리 데이터에 액세스하고 탐색하는 예제

  1. Azure Resource Graph Explorer를 엽니다.

    스크린샷은 Azure Resource Graph Explorer** 권장 사항 페이지를 시작하는 방법을 보여줍니다.

  2. 다음 구독 범위를 선택합니다. securityresources/softwareinventories

  3. 다음 쿼리를 입력하고(또는 사용자 지정하거나 직접 작성) 쿼리 실행을 선택합니다.

쿼리 예제

설치된 소프트웨어의 기본 목록을 생성하려면:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

버전 번호를 기준으로 필터링하려면:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

소프트웨어 제품을 조합하여 컴퓨터를 찾으려면:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

소프트웨어 제품을 다른 보안 권장 사항과 결합하려면 다음을 수행합니다.

(이 예제에서는 MySQL이 설치되고 관리 포트가 노출된 컴퓨터)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

인벤토리 내보내기

  1. 필터링된 인벤토리를 CSV 양식으로 저장하려면 CSV 보고서 다운로드를 선택합니다.

  2. Resource Graph Explorer에 쿼리를 저장하려면 쿼리 열기를 선택합니다. 쿼리를 저장할 준비가 되면 다른 이름으로 저장 및 저장 쿼리에서 쿼리 이름 및 설명, 쿼리가 프라이빗인지 공유인지를 선택합니다.

    ARG의 인벤토리 쿼리

수동으로 페이지를 다시 로드하거나 새로 고침을 선택하지 않는 한 리소스에 대한 변경 내용은 표시된 결과에 영향을 주지 않습니다.