모니터링 및 위협 탐지에 대한 권장 사항
이 Azure Well-Architected Framework 보안 검사 목록 권장 사항에 적용됩니다.
SE:10 | 플랫폼과 통합할 수 있는 최신 위협 탐지 메커니즘을 사용하는 전체적인 모니터링 전략을 구현합니다. 메커니즘은 심사를 안정적으로 경고하고 기존 SecOps 프로세스로 신호를 보내야 합니다. |
---|
이 가이드에서는 모니터링 및 위협 탐지에 대한 권장 사항을 설명합니다. 모니터링은 기본적으로 이미 발생한 이벤트에 대한 정보를 가져오는 프로세스입니다. 보안 모니터링은 의심스러운 활동에 대한 인식을 얻기 위해 워크로드(인프라, 애플리케이션, 운영)의 다양한 고도에서 정보를 캡처하는 방법입니다. 목표는 인시던트를 예측하고 과거 이벤트에서 배우는 것입니다. 모니터링 데이터는 인시던트 대응 및 포렌식 조사를 돕기 위해 발생한 일에 대한 인시던트 후 분석의 기초를 제공합니다.
모니터링은 모든 Well-Architected Framework 핵심 요소에 적용되는 운영 우수성 접근 방식입니다. 이 가이드에서는 보안 관점에서만 권장 사항을 제공합니다. 코드 계측, 데이터 수집 및 분석과 같은 모니터링의 일반적인 개념은 이 가이드의 scope. 핵심 모니터링 개념에 대한 자세한 내용은 가시성 프레임워크를 설계하고 빌드하기 위한 권장 사항을 참조하세요.
정의
용어 | 정의 |
---|---|
감사 로그 | 시스템의 활동 레코드입니다. |
SIEM(보안 정보 및 이벤트 관리) | 여러 원본에서 집계된 데이터를 기반으로 하는 기본 제공 위협 탐지 및 인텔리전스 기능을 사용하는 접근 방식입니다. |
위협 탐지 | 수집, 분석 및 상관 관계가 있는 데이터를 사용하여 예상 작업에서 편차를 검색하는 전략입니다. |
위협 인텔리전스 | 패턴을 검사하여 위협 탐지 데이터를 해석하여 의심스러운 활동 또는 위협을 검색하기 위한 전략입니다. |
위협 방지 | 자산을 보호하기 위해 다양한 고도의 워크로드에 배치되는 보안 제어입니다. |
주요 디자인 전략
보안 모니터링의 기본 목적은 위협 탐지입니다. 주요 목표는 잠재적인 보안 위반을 방지하고 보안 환경을 유지하는 것입니다. 그러나 모든 위협을 선제적으로 차단할 수 있는 것은 아니라는 점을 인식하는 것도 똑같이 중요합니다. 이러한 경우 모니터링은 방지 노력에도 불구하고 발생한 보안 인시던트 원인을 식별하는 메커니즘으로도 사용됩니다.
모니터링은 다양한 관점에서 접근할 수 있습니다.
다양한 고도에서 모니터링합니다. 다양한 고도에서 관찰하는 것은 사용자 흐름, 데이터 액세스, ID, 네트워킹 및 운영 체제에 대한 정보를 가져오는 프로세스입니다. 이러한 각 영역은 보안 기준에 대해 설정된 예상 동작의 편차를 식별하는 데 도움이 되는 고유한 인사이트를 제공합니다. 반대로 시간이 지남에 따라 시스템 및 애플리케이션을 지속적으로 모니터링하면 해당 기준 상태를 설정하는 데 도움이 될 수 있습니다. 예를 들어 일반적으로 1시간마다 ID 시스템에서 약 1,000번의 로그인 시도가 표시될 수 있습니다. 모니터링에서 짧은 기간 동안 50,000번의 로그인 시도가 급증하면 공격자가 시스템에 액세스하려고 할 수 있습니다.
다양한 영향 범위에서 모니터링합니다. 애플리케이션과 플랫폼을 관찰하는 것이 중요합니다. 애플리케이션 사용자가 실수로 에스컬레이션된 권한을 받거나 보안 위반이 발생했다고 가정합니다. 사용자가 지정된 scope 이외의 작업을 수행하는 경우 그 영향은 다른 사용자가 수행할 수 있는 작업으로 제한될 수 있습니다.
그러나 내부 엔터티가 데이터베이스를 손상시키는 경우 잠재적 손상 정도는 불확실합니다.
Azure 리소스 쪽에서 손상이 발생하는 경우 그 영향은 전역적일 수 있으며 리소스와 상호 작용하는 모든 엔터티에 영향을 미칠 수 있습니다.
이러한 시나리오 중 발생하는 시나리오에 따라 폭발 반경 또는 충격 scope 크게 다를 수 있습니다.
특수 모니터링 도구를 사용합니다. 공격을 나타낼 수 있는 비정상적인 동작을 지속적으로 검색할 수 있는 특수 도구 에 투자하는 것이 중요합니다. 이러한 도구의 대부분은 대량의 데이터와 알려진 위협을 기반으로 예측 분석을 수행할 수 있는 위협 인텔리전스 기능을 갖추고 있습니다. 대부분의 도구는 상태 비국적이 아니며 보안 컨텍스트에서 원격 분석에 대한 깊은 이해를 통합합니다.
플랫폼에서 심층 신호를 얻고 높은 충실도로 예측을 하려면 도구가 플랫폼 통합 또는 적어도 플랫폼 인식이어야 합니다. 적절한 심사를 수행하기에 충분한 정보를 사용하여 적시에 경고를 생성할 수 있어야 합니다. 너무 많은 다양한 도구를 사용하면 복잡성이 발생할 수 있습니다.
인시던트 대응에 모니터링을 사용합니다. 실행 가능한 인텔리전스로 변환된 집계된 데이터는 인시던트에 대한 신속하고 효과적인 반응을 가능하게 합니다. 모니터링은 인시던트 후 활동에 도움이 됩니다. 목표는 발생한 일을 분석하고 이해하기에 충분한 데이터를 수집하는 것입니다. 모니터링 프로세스는 과거 이벤트에 대한 정보를 캡처하여 사후 기능을 향상시키고 향후 인시던트를 예측할 수 있습니다.
다음 섹션에서는 이전 모니터링 관점을 통합하는 권장 사례를 제공합니다.
활동 내역을 유지하기 위해 데이터 캡처
목표는 보안 관점에서 중요한 이벤트의 포괄적인 감사 내역 을 유지하는 것입니다. 로깅은 액세스 패턴을 캡처하는 가장 일반적인 방법입니다. 애플리케이션 및 플랫폼에 대해 로깅을 수행해야 합니다.
감사 내역의 경우 작업과 관련된 대상, 시기 및 사용자를 설정해야 합니다. 작업이 수행될 때 특정 기간을 식별해야 합니다. 위협 모델링에서 이 평가를 수행합니다. 부인 위협에 대응하려면 활동 및 트랜잭션의 레코드를 생성하는 강력한 로깅 및 감사 시스템을 설정해야 합니다.
다음 섹션에서는 워크로드의 몇 가지 일반적인 고도에 대한 사용 사례를 설명합니다.
애플리케이션 사용자 흐름
이벤트가 발생할 때 런타임 가시성을 제공하도록 애플리케이션을 설계해야 합니다. 애플리케이션 내에서 중요한 지점을 식별하고 이러한 지점에 대한 로깅을 설정합니다. 예를 들어 사용자가 애플리케이션에 로그인할 때 사용자의 ID, 원본 위치 및 기타 관련 정보를 캡처합니다. 사용자 권한의 에스컬레이션, 사용자가 수행한 작업 및 사용자가 보안 데이터 저장소의 중요한 정보에 액세스했는지 여부를 인정하는 것이 중요합니다. 사용자 및 사용자 세션에 대한 활동을 추적합니다.
이 추적을 용이하게 하려면 구조적 로깅을 통해 코드를 계측해야 합니다. 이렇게 하면 로그를 쉽고 균일하게 쿼리하고 필터링할 수 있습니다.
중요
시스템의 기밀성과 무결성을 유지하려면 책임 있는 로깅을 적용해야 합니다. 비밀 및 중요한 데이터는 로그에 표시되지 않아야 합니다. 이 로그 데이터를 캡처할 때 개인 데이터 및 기타 규정 준수 요구 사항이 유출되는 것을 알고 있어야 합니다.
ID 및 액세스 모니터링
애플리케이션에 대한 액세스 패턴 및 플랫폼 리소스 수정에 대한 철저한 레코드를 유지 관리합니다. 공격자가 무단 액세스를 얻기 위해 ID를 조작하려고 하는 경우가 많기 때문에 특히 ID 관련 활동에 대한 강력한 활동 로그 및 위협 탐지 메커니즘이 있습니다.
사용 가능한 모든 데이터 요소를 사용하여 포괄적인 로깅을 구현합니다. 예를 들어 일반 사용자 활동과 예기치 않은 위치의 잠재적 위협을 구분하는 클라이언트 IP 주소를 포함합니다. 모든 로깅 이벤트는 서버에서 타임스탬프해야 합니다.
모든 리소스 액세스 활동을 기록하여 누가 무엇을 하고 언제 무엇을 하고 있는지 캡처합니다. 권한 에스컬레이션 인스턴스는 기록해야 하는 중요한 데이터 요소입니다. 애플리케이션의 계정 만들기 또는 삭제와 관련된 작업도 기록해야 합니다. 이 권장 사항은 애플리케이션 비밀로 확장됩니다. 비밀에 액세스하는 사용자와 암호가 회전되는 시기를 모니터링합니다.
성공적인 작업 로깅이 중요하지만 보안 관점에서 실패 기록이 필요합니다. 사용자가 작업을 시도했지만 권한 부여 실패, 존재하지 않는 리소스에 대한 액세스 시도 및 의심스러운 기타 작업과 같은 위반 사항을 문서화합니다.
네트워크 모니터링
네트워크 패킷과 해당 원본, 대상 및 구조를 모니터링하면 네트워크 수준에서 액세스 패턴에 대한 가시성을 얻을 수 있습니다.
세분화 디자인은 경계의 관찰점이 교차하는 것을 모니터링하고 해당 데이터를 기록할 수 있도록 해야 합니다. 예를 들어 흐름 로그를 생성하는 네트워크 보안 그룹이 있는 서브넷을 모니터링합니다. 또한 허용되거나 거부된 흐름을 표시하는 방화벽 로그를 모니터링합니다.
인바운드 연결 요청에 대한 액세스 로그가 있습니다. 이러한 로그는 요청을 시작하는 원본 IP 주소, 요청 유형(GET, POST) 및 요청의 일부인 기타 모든 정보를 기록합니다.
DNS 흐름을 캡처하는 것은 많은 조직에서 중요한 요구 사항입니다. instance 경우 DNS 로그는 특정 DNS 쿼리를 시작한 사용자 또는 디바이스를 식별하는 데 도움이 될 수 있습니다. DNS 작업을 사용자/디바이스 인증 로그와 상호 연결하여 개별 클라이언트에 대한 활동을 추적할 수 있습니다. 이 책임은 특히 DNS 요청을 작업의 일부로 만드는 모든 항목을 배포하는 경우 워크로드 팀으로 확장되는 경우가 많습니다. DNS 트래픽 분석은 플랫폼 보안 가시성의 주요 측면입니다.
알려진 명령 및 제어 엔드포인트로 전달되는 예기치 않은 DNS 요청 또는 DNS 요청을 모니터링하는 것이 중요합니다.
절충: 모든 네트워크 활동을 로깅하면 많은 양의 데이터가 발생할 수 있습니다. 서브넷 경계를 통과하는 모든 트랜잭션을 포함하여 계층 3의 모든 요청을 흐름 로그에 기록할 수 있습니다. 아쉽게도 부작용이 발생한 후에만 식별할 수 있으므로 부작용만 캡처할 수 없습니다. 캡처할 이벤트 유형과 저장 기간에 대한 전략적 결정을 내세요. 주의하지 않으면 데이터 관리가 어려울 수 있습니다. 또한 해당 데이터를 저장하는 비용에 대한 절충이 있습니다.
장단점 때문에 워크로드의 네트워크 모니터링의 이점이 비용을 정당화하기에 충분한지 고려해야 합니다. 요청 볼륨이 많은 웹 애플리케이션 솔루션이 있고 시스템에서 관리되는 Azure 리소스를 광범위하게 사용하는 경우 비용이 이점보다 클 수 있습니다. 반면에 다양한 포트 및 애플리케이션에서 가상 머신을 사용하도록 설계된 솔루션이 있는 경우 네트워크 로그를 캡처하고 분석하는 것이 중요할 수 있습니다.
시스템 변경 내용 캡처
시스템의 무결성을 유지하려면 시스템 상태에 대한 정확하고 최신 레코드가 있어야 합니다. 변경 내용이 있는 경우 이 레코드를 사용하여 발생하는 문제를 즉시 해결할 수 있습니다.
빌드 프로세스는 원격 분석도 내보내야 합니다. 이벤트의 보안 컨텍스트를 이해하는 것이 중요합니다. 빌드 프로세스를 트리거한 항목, 트리거한 사람 및 트리거된 시기를 알면 중요한 인사이트를 제공할 수 있습니다.
리소스가 생성되는 시기와 리소스가 서비스 해제되는 시기를 추적합니다. 이 정보는 플랫폼에서 추출해야 합니다. 이 정보는 리소스 관리 및 책임에 대한 중요한 인사이트를 제공합니다.
리소스 구성에서 드리프트를 모니터링합니다. 기존 리소스에 대한 변경 내용을 문서화합니다. 또한 리소스에 대한 롤아웃의 일부로 완료되지 않는 변경 내용을 추적합니다. 로그는 변경 내용의 세부 사항과 발생한 정확한 시간을 캡처해야 합니다.
패치 관점에서 시스템이 최신 상태이고 안전한지 여부를 포괄적으로 볼 수 있습니다. 일상적인 업데이트 프로세스를 모니터링 하여 계획대로 완료되는지 확인합니다. 완료되지 않는 보안 패치 프로세스는 취약성으로 간주되어야 합니다. 패치 수준 및 기타 필요한 세부 정보를 기록하는 인벤토리도 유지 관리해야 합니다.
변경 검색은 운영 체제에도 적용됩니다. 여기에는 서비스가 추가 또는 해제되었는지 여부를 추적하는 작업이 포함됩니다. 또한 시스템에 새 사용자를 추가하기 위한 모니터링도 포함됩니다. 운영 체제를 대상으로 하도록 설계된 도구가 있습니다. 워크로드의 기능을 대상으로 하지 않는다는 점에서 컨텍스트가 없는 모니터링을 지원합니다. 예를 들어 파일 무결성 모니터링은 시스템 파일의 변경 내용을 추적할 수 있는 중요한 도구입니다.
이러한 변경 내용에 대한 경고를 설정해야 하며, 특히 자주 발생하지 않을 것으로 예상되는 경우 해당 경고를 설정해야 합니다.
중요
프로덕션으로 롤아웃할 때 애플리케이션 리소스 및 빌드 프로세스에서 검색된 비정상적인 활동을 catch하도록 경고가 구성되어 있는지 확인합니다.
테스트 계획에 우선 순위가 지정된 테스트 사례로 로깅 및 경고의 유효성 검사를 포함합니다 .
데이터 저장, 집계 및 분석
이러한 모니터링 활동에서 수집된 데이터는 철저히 검사, 정규화 및 상관 관계를 지정할 수 있는 데이터 싱크에 저장되어야 합니다. 보안 데이터는 시스템 자체 데이터 저장소 외부에서 유지되어야 합니다. 싱크를 지역화하든 중앙이든 모니터링하는 것은 데이터 원본보다 오래 있어야 합니다. 싱크는 침입 감지 시스템의 원본이므로 임시로 사용할 수 없습니다 .
네트워킹 로그는 자세한 정보 표시일 수 있으며 스토리지를 사용할 수 있습니다. 스토리지 시스템의 다양한 계층을 살펴봅니다. 로그는 시간이 지남에 따라 자연스럽게 콜드 스토리지로 전환할 수 있습니다. 이 방법은 이전 흐름 로그가 일반적으로 적극적으로 사용되지 않고 요청 시만 필요하기 때문에 유용합니다. 이 메서드는 효율적인 스토리지 관리를 보장하는 동시에 필요할 때 기록 데이터에 액세스할 수 있도록 합니다.
워크로드의 흐름은 일반적으로 여러 로깅 원본의 복합입니다. 모니터링 데이터는 모든 원본에서 지능적으로 분석해야 합니다. 예를 들어 방화벽은 방화벽에 도달하는 트래픽만 차단합니다. 특정 트래픽을 이미 차단한 네트워크 보안 그룹이 있는 경우 해당 트래픽은 방화벽에 표시되지 않습니다. 이벤트 시퀀스를 다시 구성하려면 흐름에 있는 모든 구성 요소의 데이터를 집계한 다음 모든 흐름에서 데이터를 집계해야 합니다. 이 데이터는 발생한 일을 이해하려고 할 때 인시던트 후 대응 시나리오에서 특히 유용합니다. 정확한 시간 유지는 필수적입니다. 보안을 위해 모든 시스템은 항상 동기화되도록 네트워크 시간 원본을 사용해야 합니다.
상관 관계가 있는 로그를 사용하여 중앙 집중식 위협 탐지
SIEM(보안 정보 및 이벤트 관리)과 같은 시스템을 사용하여 다양한 서비스에서 상관 관계를 지정할 수 있는 중앙 위치에 보안 데이터를 통합 할 수 있습니다. 이러한 시스템에는 기본 제공 위협 탐지 메커니즘이 있습니다. 외부 피드에 연결하여 위협 인텔리전스 데이터를 가져올 수 있습니다. 예를 들어 Microsoft는 사용할 수 있는 위협 인텔리전스 데이터를 게시합니다. Anomali 및 FireEye와 같은 다른 공급자에서 위협 인텔리전스 피드를 구입할 수도 있습니다. 이러한 피드는 중요한 인사이트를 제공하고 보안 태세를 향상시킬 수 있습니다. Microsoft의 위협 인사이트는 보안 참가자를 참조하세요.
SIEM 시스템은 상관 관계 및 정규화된 데이터를 기반으로 경고를 생성 할 수 있습니다. 이러한 경고는 인시던트 대응 프로세스 중에 중요한 리소스입니다.
절충: SIEM 시스템은 비용이 많이 들고 복잡하며 전문 기술이 필요할 수 있습니다. 그러나 데이터가 없는 경우 데이터를 직접 상호 연결해야 할 수 있습니다. 이는 시간이 많이 걸리고 복잡한 프로세스일 수 있습니다.
SIEM 시스템은 일반적으로 organization 중앙 팀에서 관리합니다. organization 없는 경우 이를 옹호하는 것이 좋습니다. 보다 효율적이고 효과적인 보안 관리를 허용하기 위해 수동 로그 분석 및 상관 관계의 부담을 완화할 수 있습니다.
몇 가지 비용 효율적인 옵션은 Microsoft에서 제공합니다. 많은 Microsoft Defender 제품은 SIEM 시스템의 경고 기능을 제공하지만 데이터 집계 기능은 제공하지 않습니다.
여러 개의 작은 도구를 결합하여 SIEM 시스템의 일부 기능을 에뮬레이트할 수 있습니다. 그러나 이러한 임시 솔루션이 상관 관계 분석을 수행하지 못할 수도 있다는 것을 알아야 합니다. 이러한 대안은 유용할 수 있지만 전용 SIEM 시스템의 기능을 완전히 대체하지 못할 수도 있습니다.
남용 감지
위협 탐지에 대해 사전에 대처 하고 SSH 구성 요소 또는 RDP 엔드포인트에 대한 ID 무차별 암호 대입 공격과 같은 남용 징후를 경계해야 합니다. 외부 위협이 많은 노이즈를 생성할 수 있지만, 특히 애플리케이션이 인터넷에 노출되는 경우 내부 위협이 더 큰 문제가 되는 경우가 많습니다. 신뢰할 수 있는 네트워크 원본의 예기치 않은 무차별 암호 대입 공격 또는 instance 대한 의도치 않은 잘못된 구성을 즉시 조사해야 합니다.
강화 사례를 따라가세요. 모니터링은 환경을 사전에 강화하는 대신 사용할 수 없습니다. 더 큰 노출 영역은 더 많은 공격이 발생하기 쉽습니다. 컨트롤을 연습만큼 강화합니다. 예를 들어 사용하지 않는 계정을 검색 및 사용하지 않도록 설정하고, 사용되지 않는 포트를 제거하고, 웹 애플리케이션 방화벽을 사용합니다. 강화 기술에 대한 자세한 내용은 보안 강화에 대한 권장 사항을 참조하세요.
서명 기반 검색 은 시스템을 자세히 검사할 수 있습니다. 잠재적인 공격을 나타낼 수 있는 활동 간의 징후 또는 상관 관계를 찾는 작업이 포함됩니다. 검색 메커니즘은 특정 유형의 공격을 나타내는 특정 특성을 식별할 수 있습니다. 항상 공격의 명령 및 제어 메커니즘을 직접 검색할 수 있는 것은 아닙니다. 그러나 특정 명령 및 제어 프로세스와 관련된 힌트 또는 패턴이 있는 경우가 많습니다. 예를 들어 요청 관점에서 특정 흐름 속도로 공격을 표시하거나 특정 종료가 있는 도메인에 자주 액세스할 수 있습니다.
비정상적인 사용자 액세스 패턴을 검색하여 예상 패턴의 편차를 식별하고 조사할 수 있습니다. 여기에는 변칙을 발견하기 위해 현재 사용자 동작과 과거 동작을 비교하는 작업이 포함됩니다. 이 작업을 수동으로 수행하는 것은 불가능할 수도 있지만 위협 인텔리전스 도구를 사용하여 수행할 수 있습니다. 데이터 모니터링에서 사용자 동작을 수집하고 분석하는 UEBA(사용자 및 엔터티 동작 분석) 도구 에 투자합니다. 이러한 도구는 종종 의심스러운 동작을 잠재적 공격 유형에 매핑하는 예측 분석을 수행할 수 있습니다.
배포 전 및 배포 후 단계에서 위협을 검색합니다. 배포 단계 중에 취약성 검사를 파이프라인에 통합하고 결과에 따라 필요한 작업을 수행합니다. 배포 후 취약성 검사를 계속 수행합니다. 컨테이너 이미지를 검사하는 컨테이너용 Microsoft Defender 같은 도구를 사용할 수 있습니다. 수집된 데이터에 결과를 포함합니다. 보안 개발 사례에 대한 자세한 내용은 안전한 배포 사례 사용에 대한 권장 사항을 참조하세요.
플랫폼에서 제공하는 검색 메커니즘 및 측정값을 활용합니다. 예를 들어 Azure Firewall 트래픽을 분석하고 신뢰할 수 없는 대상에 대한 연결을 차단할 수 있습니다. 또한 Azure는 분산 DDoS(서비스 거부) 공격을 감지하고 보호하는 방법을 제공합니다.
Azure 촉진
Azure Monitor는 전체 환경에 대한 가시성을 제공합니다. 구성이 없으면 대부분의 Azure 리소스에서 플랫폼 메트릭, 활동 로그 및 진단 로그를 자동으로 가져옵니다. 활동 로그는 자세한 진단 및 감사 정보를 제공합니다.
참고
플랫폼 로그는 무기한 사용할 수 없습니다. 나중에 감사 목적으로 또는 오프라인 분석을 위해 검토할 수 있도록 보관해야 합니다. 장기/보관 스토리지에 Azure Storage 계정을 사용합니다. Azure Monitor에서 리소스에 대한 진단 설정을 사용하도록 설정할 때 보존 기간을 지정합니다.
미리 정의된 또는 사용자 지정 메트릭 및 로그를 기반으로 경고를 설정하여 특정 보안 관련 이벤트 또는 변칙이 검색될 때 알림을 받습니다.
자세한 내용은 Azure Monitor 설명서를 참조하세요.
Microsoft Defender for Cloud는 위협 탐지를 위한 기본 제공 기능을 제공합니다. 수집된 데이터에서 작동하고 로그를 분석합니다. 생성된 로그 유형을 알고 있으므로 기본 제공 규칙을 사용하여 정보에 입각한 결정을 내릴 수 있습니다. 예를 들어 잠재적으로 손상된 IP 주소 목록을 확인하고 경고를 생성합니다.
Azure 리소스에 대한 기본 제공 위협 방지 서비스를 사용하도록 설정합니다. 예를 들어 가상 머신, 데이터베이스 및 컨테이너와 같은 Azure 리소스에 대한 Microsoft Defender 사용하여 알려진 위협을 감지하고 보호합니다.
클라우드용 Defender는 모든 워크로드 리소스의 위협 탐지를 위한 CWPP(클라우드 워크로드 보호 플랫폼) 기능을 제공합니다.
자세한 내용은 클라우드용 Microsoft Defender란?을 참조하세요.
Defender에서 생성된 경고는 SIEM 시스템에도 공급될 수 있습니다. Microsoft Sentinel 은 네이티브 제품입니다. AI 및 기계 학습을 사용하여 실시간으로 보안 위협을 감지하고 대응합니다. 보안 데이터에 대한 중앙 집중식 보기를 제공하고 사전 위협 헌팅 및 조사를 용이하게 합니다.
자세한 내용은 Microsoft Sentinel이란?을 참조하세요.
Microsoft Sentinel은 다양한 원본의 위협 인텔리전스 피드를 사용할 수도 있습니다. 자세한 내용은 Microsoft Sentinel의 위협 인텔리전스 통합을 참조하세요.
Microsoft Sentinel은 모니터링 데이터에서 사용자 동작을 분석할 수 있습니다. 자세한 내용은 Microsoft Sentinel에서 UEBA(사용자 및 엔터티 동작 분석)를 사용하여 고급 위협 식별을 참조하세요.
Defender와 Microsoft Sentinel은 기능이 일부 겹치더라도 함께 작동합니다. 이 협업은 포괄적인 위협 탐지 및 대응을 보장함으로써 전반적인 보안 태세를 향상시킵니다.
Azure Business Continuity Center를 활용하여 비즈니스 연속성 자산의 격차를 식별하고 랜섬웨어 공격, 악의적인 활동 및 악의적인 관리자 인시던트와 같은 위협로부터 방어합니다. 자세한 내용은 Azure Business Continuity Center란?을 참조하세요.
네트워킹
네트워크 디바이스에서 원시 트래픽을 포함한 모든 로그를 검토합니다.
보안 그룹 로그. 흐름 로그 및 진단 로그를 검토합니다.
Azure Network Watcher 패킷 캡처 기능을 활용하여 경고를 설정하고 패킷 수준에서 실시간 성능 정보에 액세스할 수 있습니다.
패킷 캡처는 가상 머신 내/외부 트래픽을 추적합니다. 네트워크 침입에 대한 정보를 포함하여 정의된 네트워크 변칙에 따라 사전 캡처를 실행하는 데 사용할 수 있습니다.
ID
잠재적으로 손상된 ID에 대한 ID 관련 위험 이벤트를 모니터링하고 이러한 위험을 해결합니다. 다음과 같은 방법으로 보고된 위험 이벤트를 검토합니다.
Microsoft Entra ID 보고를 사용합니다. 자세한 내용은 ID 보호란? 및 ID 보호를 참조하세요.
ID 보호 위험 검색 API 멤버를 사용하여 Microsoft Graph를 통해 보안 검색에 프로그래밍 방식으로 액세스합니다. 자세한 내용은 riskDetection 및 riskyUser를 참조하세요.
Microsoft Entra ID 적응형 기계 학습 알고리즘, 추론 및 알려진 손상된 자격 증명(사용자 이름 및 암호 쌍)을 사용하여 사용자 계정과 관련된 의심스러운 작업을 검색합니다. 이러한 사용자 이름 및 암호 쌍은 퍼블릭 및 다크 웹을 모니터링하고 보안 연구원, 법 집행 기관, Microsoft의 보안 팀 등과 협력하여 표시됩니다.
Azure Pipelines
DevOps는 CI/CD(지속적인 통합 및 지속적인 업데이트)를 통해 워크로드의 변경 관리를 옹호합니다. 파이프라인에 보안 유효성 검사를 추가해야 합니다. Azure Pipelines 보안에 설명된 지침을 따릅니다.
관련 링크
- 가시성 프레임워크를 디자인하고 만들기 위한 권장 사항
- 보안 참가자
- 리소스 강화를 위한 권장 사항
- 안전한 배포 사례를 사용하기 위한 권장 사항
- Azure Monitor 설명서
- 클라우드용 Microsoft Defender란?
- Microsoft Sentinel이란?
- Microsoft Sentinel의 위협 인텔리전스 통합
- Microsoft Sentinel의 UEBA(사용자 및 엔터티 동작 분석)로 지능형 위협 식별
- 자습서: Azure Portal을 사용하여 가상 머신 간에 네트워크 트래픽 기록
- 패킷 캡처
- 패킷 캡처를 사용하여 경고 및 Azure Functions를 통해 사전에 네트워크 모니터링
- Identity Protection이란?
- ID 보호
- riskDetection
- riskyUser
- CI/CD 파이프라인에 지속적인 보안 유효성 검사를 추가하는 방법 알아보기
보안 검사 목록
전체 권장 사항 집합을 참조하세요.