일일 운영 가이드 - Microsoft Defender for Cloud Apps

이 문서에서는 Defender for Cloud Apps 사용하여 수행하는 것이 좋습니다.

경고 및 인시던트 검토

경고 및 인시던트 는 SOC(보안 운영) 팀이 매일 검토해야 하는 가장 중요한 두 가지 항목입니다.

• Microsoft Defender XDR 인시던트 큐에서 정기적으로 인시던트 및 경고를 심사하여 높음 및 중간 심각도 경고의 우선 순위를 지정합니다.

• SIEM 시스템을 사용하는 경우 SIEM 시스템은 일반적으로 심사를 위한 첫 번째 중지입니다. SIEM 시스템은 추가 로그 및 SOAR 기능을 사용하여 더 많은 컨텍스트를 제공합니다. 그런 다음 Microsoft Defender XDR 사용하여 경고 또는 인시던트 타임라인 자세히 이해합니다.

Microsoft Defender XDR 인시던트 심사

위치: Microsoft Defender XDR 인시던트 & 경고를 선택합니다.

페르소나: SOC 분석가

인시던트 심사 시:

1. 인시던트 dashboard 다음 항목을 필터링합니다.

   필터	값
   상태	새로 만들기, 진행 중
   심각도	높음, 중간, 낮음
   서비스 원본	모든 서비스 원본을 계속 확인합니다. 모든 서비스 원본을 확인하려면 다른 Microsoft XDR 워크로드 간에 상관 관계가 있는 가장 충실도의 경고가 나열되어야 합니다. Defender for Cloud Apps 선택하여 Defender for Cloud Apps 특별히 제공되는 항목을 봅니다.

2. 각 인시던트 를 선택하여 모든 세부 정보를 검토합니다. 인시던트, 활동 로그 및 고급 헌팅의 모든 탭을 검토합니다.

   인시던트의 증거 및 응답 탭에서 각 증거 항목을 선택합니다. 옵션 메뉴 >조사 를 선택한 다음 필요에 따라 활동 로그 또는 이동 헌팅 을 선택합니다.

3. 인시던트 심사. 각 인시던트에 대해 인시던트 관리를 선택한 다음, 다음 옵션 중 하나를 선택합니다.

   • 참 긍정
   • 가양성
   • 정보, 예상 활동

   실제 경고의 경우 보안 팀이 위협 패턴을 확인하고 위험으로부터 organization 보호하는 데 도움이 되는 처리 유형을 지정합니다.

4. 활성 조사를 시작할 준비가 되면 인시던트 를 사용자에게 할당하고 인시던트 상태 진행 중으로 업데이트합니다.

5. 인시던트가 수정되면 연결된 모든 활성 경고와 관련된 활성 경고를 resolve resolve.

자세한 내용은 다음 항목을 참조하세요.

• Microsoft Defender XDR 인시던트 우선 순위 지정
• Microsoft Defender XDR 경고 조사
• 인시던트 대응 플레이북
• 변칙 검색 경고를 조사하는 방법
• 앱 거버넌스 경고 관리
• 위협 탐지 경고 조사

SIEM 시스템에서 인시던트 심사

페르소나: SOC 분석가

필수 구성 요소: SIEM 시스템에 연결해야 하며 Microsoft Sentinel 통합하는 것이 좋습니다. 자세한 내용은 다음 항목을 참조하세요.

• Microsoft Sentinel 통합(미리 보기)
• Microsoft Defender XDR 데이터를 Microsoft Sentinel 연결
• 일반 SIEM 통합

Microsoft Defender XDR Microsoft Sentinel 통합하면 모든 Microsoft Defender XDR 인시던트가 Microsoft Sentinel 스트리밍하고 두 포털 간에 동기화된 상태로 유지할 수 있습니다. Microsoft Sentinel Microsoft Defender XDR 인시던트에는 관련된 모든 경고, 엔터티 및 관련 정보가 포함되어 예비 조사를 심사하고 실행할 수 있는 충분한 컨텍스트를 제공합니다.

Microsoft Sentinel 인시던트가 Microsoft Defender XDR 동기화된 상태로 유지되므로 조사에서 두 포털의 기능을 모두 사용할 수 있습니다.

• Microsoft Defender XDR Microsoft Sentinel 데이터 커넥터를 설치할 때는 Microsoft Defender for Cloud Apps 옵션을 포함해야 합니다.
• 스트리밍 API를 사용하여 이벤트 허브로 데이터를 전송하는 것이 좋습니다. 여기서 이벤트 허브 커넥터를 사용하여 파트너 SIEM을 통해 사용하거나 Azure Storage에 배치할 수 있습니다.

자세한 내용은 다음 항목을 참조하세요.

• Microsoft Sentinel Microsoft Defender XDR 통합
• Microsoft Sentinel 인시던트 탐색 및 조사
• 위협을 감지하는 사용자 지정 분석 규칙 만들기

위협 탐지 데이터 검토

위치: Microsoft Defender XDR 포털에서 다음을 선택합니다.

• 인시던트 & 경고
• 클라우드 앱 > 정책 정책 > 관리 > 위협 검색
• 클라우드 앱 > Oauth 앱

페르소나: 보안 관리자 및 SOC 분석가

클라우드 앱 위협 탐지는 많은 SOC 분석가가 일상적인 활동에 집중하여 비정상적인 동작을 보이는 고위험 사용자를 식별하는 곳입니다.

Defender for Cloud Apps 위협 탐지는 Microsoft 위협 인텔리전스 및 보안 연구 데이터를 사용합니다. 경고는 Microsoft Defender XDR 사용할 수 있으며 정기적으로 심사되어야 합니다.

보안 관리자와 SOC 분석가는 경고를 처리할 때 다음과 같은 기본 유형의 위협 탐지 정책을 처리합니다.

• 활동 정책
• 변칙 검색 정책
• OAuth 정책 및 앱 거버넌스 정책

Persona: 보안 관리자

필수 구성 요소 처리를 포함하여 organization 필요한 위협 방지 정책을 만들어야 합니다.

애플리케이션 거버넌스 검토

위치: Microsoft Defender XDR 포털에서 다음을 선택합니다.

• 인시던트 & 경고
• 경고/앱 거버넌스를 & 인시던트

페르소나: SOC 분석가

앱 거버넌스는 OAuth 앱에 대한 심층적인 가시성 및 제어를 제공합니다. 앱 거버넌스는 온-프레미스 및 클라우드 인프라에 배포된 앱을 악용하여 권한 상승, 횡적 이동 및 데이터 반출을 위한 시작점을 설정하는 점점 더 정교해지는 캠페인에 대처하는 데 도움이 됩니다.

앱 거버넌스는 Defender for Cloud Apps 함께 제공됩니다. 경고는 Microsoft Defender XDR 사용할 수 있으며 정기적으로 심사되어야 합니다.

자세한 내용은 다음 항목을 참조하세요.

• 검색 경고
• 미리 정의된 앱 정책 경고 조사
• 위험한 OAuth 앱 조사 및 수정

앱 거버넌스 개요 페이지 확인

위치: Microsoft Defender XDR 포털에서 다음을 선택합니다.

• 인시던트 & 경고
• 클라우드 앱 > 앱 거버넌스 > 개요

페르소나: SOC 분석가 및 보안 관리자

앱 및 인시던트에 대한 규정 준수 상태를 빠르고 매일 평가하는 것이 좋습니다. 예를 들어 다음 세부 정보를 검사.

• 권한이 초과되거나 권한이 높은 앱의 수
• 확인되지 않은 게시자가 있는 앱
• Graph API 사용하여 액세스한 서비스 및 리소스에 대한 데이터 사용량
• 가장 일반적인 민감도 레이블을 사용하여 데이터에 액세스한 앱 수
• Microsoft 365 서비스에서 민감도 레이블을 사용 및 사용하지 않고 데이터에 액세스한 앱 수
• 앱 거버넌스 관련 인시던트 개요

검토하는 데이터에 따라 새로 만들거나 앱 거버넌스 정책을 조정할 수 있습니다.

자세한 내용은 다음 항목을 참조하세요.

• 인시던트 및 경고 보기 및 관리
• 앱 거버넌스를 사용하여 앱 세부 정보 보기
• 앱 거버넌스에서 앱 정책을 만듭니다.

OAuth 앱 데이터 검토

위치: Microsoft Defender XDR 포털에서 다음을 선택합니다.

• 인시던트 & 경고
• 클라우드 앱 > 앱 거버넌스 > Azure AD

관련 앱 메타데이터 및 사용량 현황 데이터와 함께 OAuth 사용 앱 목록을 매일 검사 것이 좋습니다. 더 심층적인 인사이트와 정보를 보려면 앱을 선택합니다.

앱 거버넌스는 기계 학습 기반 검색 알고리즘을 사용하여 Microsoft Defender XDR 테넌트에서 비정상적인 앱 동작을 검색하고, 보고, 조사하고, resolve 수 있는 경고를 생성합니다. 이 기본 제공 검색 기능 외에도 기본 정책 템플릿 집합을 사용하거나 다른 경고를 생성하는 고유한 앱 정책을 만들 수 있습니다.

자세한 내용은 다음 항목을 참조하세요.

• 인시던트 및 경고 보기 및 관리
• 앱 거버넌스를 사용하여 앱 세부 정보 보기
• 앱에 대한 자세한 정보 가져오기

앱 거버넌스 정책 만들기 및 관리

위치: Microsoft Defender XDR 포털에서 클라우드 앱 > 앱 거버넌스 > 정책을 선택합니다.

페르소나: 보안 관리자

정기적인 심층 표시 및 제어를 위해 매일 OAuth 앱을 검사 것이 좋습니다. 기계 학습 알고리즘을 기반으로 경고를 생성하고 앱 거버넌스에 대한 앱 정책을 만듭니다.

자세한 내용은 다음 항목을 참조하세요.

• 앱 거버넌스에서 앱 정책 만들기
• 앱 정책 관리

조건부 액세스 앱 제어 검토

위치: Microsoft Defender XDR 포털에서 다음을 선택합니다.

• 인시던트 & 경고
• 클라우드 앱 > 정책 정책 > 관리 > 조건부 액세스

조건부 액세스 앱 제어를 구성하려면 설정 > 클라우드 앱 > 조건부 액세스 앱 제어를 선택합니다.

Persona: 보안 관리자

조건부 액세스 앱 제어는 액세스 및 세션 정책에 따라 사용자 앱 액세스 및 세션을 실시간으로 모니터링하고 제어하는 기능을 제공합니다.

생성된 경고는 Microsoft Defender XDR 사용할 수 있으며 정기적으로 심사되어야 합니다.

기본적으로 배포된 액세스 또는 세션 정책이 없으므로 관련 경고를 사용할 수 없습니다. 모든 웹앱을 온보딩하여 액세스 및 세션 컨트롤을 사용할 수 Microsoft Entra ID 앱이 자동으로 온보딩됩니다. organization 필요한 경우 세션 및 액세스 정책을 만드는 것이 좋습니다.

자세한 내용은 다음 항목을 참조하세요.

• 인시던트 및 경고 보기 및 관리
• Microsoft Defender for Cloud Apps 조건부 액세스 앱 제어를 사용하여 앱 보호
• 관리되지 않거나 위험한 장치에 중요한 데이터의 다운로드 차단 및 보호
• 실시간 세션 제어를 적용하여 외부 사용자와 안전하게 공동 작업

페르소나: SOC 관리자

매일 조건부 액세스 앱 제어 경고 및 활동 로그를 검토하는 것이 좋습니다. 원본, 액세스 제어 및 세션 제어를 기준으로 활동 로그를 필터링합니다.

자세한 내용은 경고 및 인시던트 검토를 참조하세요.

섀도 IT 검토 - 클라우드 검색

위치: Microsoft Defender XDR 포털에서 다음을 선택합니다.

• 인시던트 & 경고
• 클라우드 앱 > 클라우드 검색/클라우드 앱 카탈로그
• 클라우드 앱 > 정책 > 정책 관리 > 섀도 IT

페르소나: 보안 관리자

클라우드용 Defender 앱은 31,000개가 넘는 클라우드 앱의 클라우드 앱 카탈로그에 대해 트래픽 로그를 분석합니다. 앱은 클라우드 사용, 섀도 IT 및 섀도 IT가 organization 초래하는 위험에 대한 지속적인 가시성을 제공하기 위해 90개 이상의 위험 요소를 기반으로 순위가 매겨지고 점수가 매겨집니다.

클라우드 검색과 관련된 경고는 Microsoft Defender XDR 사용할 수 있으며 정기적으로 심사되어야 합니다.

앱 검색 정책을 만들어 위험 점수, 범주 및 일일 트래픽 및 다운로드한 데이터와 같은 앱 동작과 같은 특정 조건에 따라 새로 검색된 앱에 대한 경고 및 태그 지정을 시작합니다.

자세한 내용은 다음 항목을 참조하세요.

• 인시던트 및 경고 보기 및 관리
• 클라우드 검색 정책
• 클라우드 검색 정책 만들기
• 클라우드 검색 설정
• 클라우드 앱 검색 및 평가

페르소나: 보안 및 규정 준수 관리자, SOC 분석가

검색된 앱이 많은 경우 필터링 옵션을 사용하여 검색된 앱에 대해 자세히 알아볼 수 있습니다.

자세한 내용은 Microsoft Defender for Cloud Apps 검색된 앱 필터 및 쿼리를 참조하세요.

클라우드 검색 dashboard 검토

위치: Microsoft Defender XDR 포털에서 클라우드 앱 > 클라우드 검색 > 대시보드를 선택합니다.

페르소나: 보안 및 규정 준수 관리자, SOC 분석가

클라우드 검색 dashboard 매일 검토하는 것이 좋습니다. 클라우드 검색 dashboard 사용 중인 앱의 자녀, 공개 경고 및 organization 앱의 위험 수준에 대한 개요를 통해 organization 클라우드 앱이 사용되는 방식에 대한 더 많은 인사이트를 제공하도록 설계되었습니다.

클라우드 검색 dashboard:

1. 페이지 맨 위에 있는 위젯을 사용하여 전체 클라우드 앱 사용량을 파악합니다.

2. 관심에 따라 dashboard 그래프를 필터링하여 특정 보기를 생성합니다. 예시:

   • 조직, 특히 승인된 앱에 사용되는 앱의 상위 범주를 이해합니다.
   • 검색된 앱의 위험 점수를 검토합니다.
   • 보기를 필터링하여 특정 범주에서 상위 앱을 확인합니다.
   • 상위 사용자 및 IP 주소를 확인하여 organization 클라우드 앱의 가장 지배적인 사용자인 사용자를 식별합니다.
   • 검색된 앱이 지리적 위치별로 어떻게 분산되는지 이해하려면 세계 지도에서 앱 데이터를 봅니다.

사용자 환경에서 검색된 앱 목록을 검토한 후 안전한 앱(승인된 앱)을 승인하거나, 원치 않는 앱(허가되지 않은 앱)을 금지하거나, 사용자 지정 태그를 적용하여 환경을 보호하는 것이 좋습니다.

환경에서 검색되기 전에 클라우드 앱 카탈로그에서 사용할 수 있는 앱에 태그를 사전에 검토하고 적용할 수도 있습니다. 이러한 애플리케이션을 제어하는 데 도움이 되도록 특정 태그에 의해 트리거되는 관련 클라우드 검색 정책을 만듭니다.

자세한 내용은 다음 항목을 참조하세요.

• 검색 데이터 작업
• 검색된 앱 작업

정보 보호 검토

위치: Microsoft Defender XDR 포털에서 다음을 선택합니다.

• 인시던트 & 경고
• 클라우드 앱 > 파일
• 클라우드 앱 > 정책 > 정책 관리 > 정보 보호

페르소나: 보안 및 규정 준수 관리자, SOC 분석가

Defender for Cloud Apps 파일 정책 및 경고를 사용하면 광범위한 자동화된 프로세스를 적용할 수 있습니다. 지속적인 규정 준수 검사, 법적 eDiscovery 작업 및 공개적으로 공유되는 중요한 콘텐츠에 대한 DLP(데이터 손실 보호)를 비롯한 정보 보호를 제공하는 정책을 만듭니다.

경고 및 인시던트 심사 외에도 SOC 팀이 추가적인 사전 조치 및 쿼리를 실행하는 것이 좋습니다. 클라우드 앱 > 파일 페이지에서 다음 질문에 대한 검사.

• 링크 없이 누구나 액세스할 수 있도록 공개적으로 공유되는 파일은 몇 개입니까?
• 아웃바운드 공유를 사용하여 파일을 공유하는 파트너는 무엇인가요?
• 파일에 중요한 이름이 있나요?
• 다른 사람의 개인 계정 공유되는 파일이 있나요?

이러한 쿼리의 결과를 사용하여 기존 파일 정책을 조정하거나 새 정책을 만듭니다.

자세한 내용은 다음 항목을 참조하세요.

• 인시던트 및 경고 보기 및 관리
• 정보 보호 정책.

관련 콘텐츠

Microsoft Defender for Cloud Apps 운영 가이드