Microsoft Defender 포털 설명
통합 Security 운영 플랫폼은 보안 팀이 전체 환경에서 위협을 방지, 감지, 조사 및 대응할 수 있는 완전히 통합된 도구 집합입니다. Microsoft의 경우 이는 고급 생성형 AI를 단일 플랫폼으로 사용하여 최상의 SIEM, XDR, 태세 관리 및 위협 인텔리전스를 제공하는 것을 의미합니다.
Microsoft Defender 포털을 통해 Microsoft는 통합 Security 운영 플랫폼에 대한 약속을 이행하여 사용자가 조직의 보안 상태를 확인할 수 있도록 합니다. Microsoft Defender 포털은 전체 조직 및 모든 구성 요소에 걸쳐 위협에 대한 보호, 감지, 조사 및 대응을 중앙 위치에서 통합합니다.
포털에 액세스하려면 Microsoft Entra ID의 전역 관리자, 보안 관리자, 보안 운영자 또는 보안 읽기 권한자와과 같은 적절한 역할이 할당되어야 Microsoft Defender 포털에 액세스할 수 있습니다.
Defender 포털은 정보에 대한 빠른 액세스, 더 간단한 레이아웃 및 보다 쉬운 사용을 위해 관련 정보를 함께 모으는 데 중점을 두고 있습니다.
Microsoft Defender 포털 홈페이지에는 보안 팀이 필요로 하는 많은 일반 카드가 표시됩니다. 카드 및 데이터 구성은 사용자 역할에 따라 달라집니다. Microsoft Defender 포털은 역할 기반 액세스 제어를 사용하므로 다양한 역할에 따라 일상 작업에 더 의미 있는 카드가 표시됩니다.
Microsoft Defender 포털을 사용하면 일상적인 운영 요구 사항에 맞게 탐색 창을 조정할 수 있습니다. 특정 기본 설정에 따라 기능 및 서비스를 표시하거나 숨기도록 탐색 창을 사용자 지정할 수 있습니다. 사용자 지정은 사용자에게만 적용되므로 다른 관리자는 이러한 변경 내용을 볼 수 없습니다.
왼쪽 탐색 창은 Microsoft Defender XDR 서비스 제품군에 쉽게 액세스할 수 있도록 합니다. 또한 Microsoft Sentinel 및 기타 여러 기능에 액세스할 수 있습니다. 다음 섹션에서는 Microsoft Defender 포털의 왼쪽 탐색 모음에서 액세스할 수 있는 기능에 대한 간략한 설명을 제공합니다.
노출 관리
Microsoft 보안 노출 관리는 회사 자산 및 워크로드 전반의 보안 태세를 통합해서 파악할 수 있게 해 주는 보안 솔루션입니다. 보안 노출 관리는 공격 표면을 사전에 관리하고, 중요한 자산을 보호하고, 노출 위험을 탐색 및 완화하는 데 도움이 되는 보안 컨텍스트를 활용하여 자산 정보를 보강합니다.
보안 노출 관리를 사용하면 자산을 검색 및 모니터링하고, 풍부한 보안 인사이트를 얻고, 보안 이니셔티브를 사용하여 특정 위험 영역을 조사하고, 조직 전체에서 메트릭을 추적하여 보안 태세를 개선할 수 있습니다.
공격 표면
보안 노출 관리는 자산 및 워크로드에서 수집된 데이터를 기반으로 공격 경로를 자동으로 생성합니다. 공격 시나리오를 시뮬레이션하고 공격자가 악용할 수 있는 취약성과 약점을 식별합니다.
보안 인사이트
Microsoft 보안 노출 관리의 노출 인사이트는 여러 워크로드 및 리소스에 걸쳐 보안 태세 데이터 및 인사이트를 단일 파이프라인으로 지속적으로 집계합니다.
- 이니셔티브는 특정 보안 영역 또는 워크로드에 대한 보안 준비 상태를 평가하고 시간이 지남에 따라 해당 영역 또는 워크로드에 대한 노출 위험을 지속적으로 추적하고 측정하는 간단한 방법을 제공합니다.
- Microsoft 보안 노출 관리의 메트릭은 보안 이니셔티브 내의 특정 자산 또는 리소스 범위에 대한 보안 노출을 측정합니다.
- 권장 사항은 특정 보안 이니셔티브에 대한 준수 상태를 이해하는 데 도움이 됩니다.
- 이벤트는 이니셔티브 변경 내용을 모니터링하는 데 도움이 됩니다.
보안 점수
Microsoft Defender 포털의 도구 중 하나인 Microsoft Secure Score는 회사의 보안 태세를 나타냅니다. 점수가 높을수록 보호가 잘 구현된 것입니다. 조직은 Microsoft Defender 포털의 중앙 집중식 대시보드에서 Microsoft 365 ID, 앱 및 디바이스의 보안을 모니터링하고 작업할 수 있습니다.
보안 점수는 점수 분석 내용, 조직의 점수를 높일 수 있는 개선 조치 그리고 조직의 보안 점수가 다른 유사한 조직에 비해 어느 정도나 되는지를 보여 주는 비교 결과를 제시합니다.
데이터 커넥터
데이터 커넥터를 사용하면 보다 풍부하고 중앙 집중화된 노출 관리 환경을 위해 데이터 원본을 연결할 수 있습니다.
조사 및 응답
조사 및 응답 탭에는 인시던트 및 경고, 헌팅, 작업 및 제출 그리고 파트너 카탈로그에 대한 액세스가 포함됩니다.
인시던트 및 경고
Microsoft Defender 포털의 인시던트는 관련 경고, 자산, 조사 및 증거의 모음으로, 사용자는 공격의 전체 범위를 포괄적으로 살펴볼 수 있습니다. SOC에서 해당 공격을 조사하고 대응을 관리, 구현 및 문서화하는 데 사용할 수 있는 사례 파일 역할을 합니다. Microsoft Defender 포털은 통합 Security 운영 플랫폼을 기반으로 하므로 Microsoft Defender XDR 솔루션, Microsoft Sentinel 및 기타 솔루션 제품군에서 생성된 인시던트를 포함하여 모든 인시던트를 볼 수 있습니다.
인시던트 내에서 네트워크에 영향을 주는 경고를 분석하고, 그 의미를 이해하고, 증거를 정리하여 효과적인 수정 계획을 고안할 수 있습니다. 인시던트에 대해 제공되는 정보는 다음과 같습니다.
- 수행된 모든 경고, 자산 및 수정 작업을 포함하여 공격의 전체 스토리입니다.
- 인시던트 관련 모든 경고입니다.
- 인시던트에 포함되거나 관련된 것으로 식별된 모든 자산(디바이스, 사용자, 사서함 및 앱)입니다.
- 인시던트에서 경고에 의해 트리거되는 모든 자동화된 조사입니다.
- 지원되는 모든 증거 및 응답입니다.
조직이 Microsoft를 Security Copilot에 온보딩하는 경우 인시던트 요약, 안내된 응답 등을 볼 수도 있습니다.
- 인시던트
- 인시던트 세부 정보 페이지
사냥
고급 헌팅은 Microsoft Defender XDR 및 Microsoft Sentinel에서 최대 30일의 원시 데이터를 탐색할 수 있는 쿼리 기반 위협 헌팅 도구입니다. 헌팅 쿼리를 통해 네트워크에서 이벤트를 사전에 검사하여 위협 지표 및 엔터티를 찾을 수 있습니다. 헌팅 쿼리는 쿼리 편집기, KQL(Kusto Query Language), 쿼리 작성기 사용 또는 Security Copilot을 통해 만들 수 있습니다. Microsoft Security Copilot에 온보딩된 사용자의 경우 자연어로 요청을 하거나 질문을 할 수 있으며 Security Copilot은 요청에 해당하는 KQL 쿼리를 생성합니다.
동일한 위협 헌팅 쿼리를 사용하여 사용자 지정 검색 규칙을 빌드할 수 있습니다. 이러한 규칙은 자동으로 실행되어 의심되는 위반 활동, 잘못 구성된 머신 및 기타 결과를 확인한 후 대응합니다.
작업 및 제출
통합 알림 센터는 엔드포인트용 Microsoft Defender 및 Office 365용 Microsoft Defender에서 수정 작업을 함께 통합합니다. 디바이스, 전자 메일 및 공동 작업 콘텐츠, ID에 대한 보류 중 및 완료된 수정 작업을 한 위치에 나열합니다.
Exchange Online 사서함이 있는 Microsoft 365 조직에서 관리자는 Microsoft Defender 포털의 제출 페이지를 사용하여 분석을 위해 Microsoft에 메시지, URL 및 첨부 파일을 제출할 수 있습니다.
파트너 카탈로그
파트너 카탈로그에는 조직이 플랫폼의 탐지, 조사 및 위협 인텔리전스 기능을 향상시키는 데 도움이 되는 지원 기술 파트너 및 전문 서비스가 나열되어 있습니다.
위협 인텔리전스
위협 인텔리전스 탭에서 사용자는 Microsoft Defender 위협 인텔리전스에 액세스합니다. 자세한 내용은 "Microsoft Defender 위협 인텔리전스 설명" 단원을 참조하세요.
자산
자산 탭을 사용하면 조직의 보호되고 검색된 자산(디바이스 및 ID) 인벤토리를 보고 관리할 수 있습니다.
디바이스 인벤토리에는 경고가 생성된 네트워크의 디바이스 목록이 표시됩니다. 기본적으로 큐에는 지난 30일 동안 표시된 디바이스가 표시됩니다. 가장 위험한 상태의 디바이스를 쉽게 식별할 수 있는 도메인, 위험 수준, OS 플랫폼 및 기타 세부 정보와 같은 정보를 한눈에 볼 수 있습니다.
ID 인벤토리는 클라우드 및 온-프레미스 모두에서 모든 기업 ID에 대한 포괄적인 보기를 제공합니다.
Microsoft Sentinel
통합 인시던트 큐와 같은 일부 Microsoft Sentinel 기능은 다른 Microsoft Defender 서비스의 인시던트와 함께 Defender 포털의 인시던트 및 경고 페이지를 통해 액세스됩니다. 다른 많은 Microsoft Sentinel 기능은 Defender 포털의 Microsoft Sentinel 섹션에서 사용할 수 있습니다.
자세한 내용은 요약 및 리소스 단위에 링크가 포함된 "Microsoft Sentinel의 기능 설명" 모듈을 참조하세요.
ID
Microsoft Defender 포털의 왼쪽 탐색 패널에 있는 ID 노드는 Microsoft Defender for Identity와 연결된 기능에 매핑됩니다. 자세한 내용은 "Microsoft Defender for Identity 설명" 단원을 참조하세요.
끝점
Microsoft Defender 포털의 왼쪽 탐색 패널에 있는 엔드포인트 노드는 엔드포인트용 Microsoft Defender와 연결된 기능에 매핑됩니다. 자세한 내용은 "엔드포인트용 Microsoft Defender 설명" 단원을 참조하세요.
이메일 및 협업
왼쪽 탐색 패널의 전자 메일 및 공동 작업 노드에서 사용자의 전자 메일에 대한 위협을 추적 및 조사하고 캠페인 추적 등을 수행할 수 있는 Office 365용 Microsoft Defender 기능을 찾을 수 있습니다. 자세한 내용은 "Office 365용 Microsoft Defender 설명" 단원을 참조하세요.
클라우드 앱
왼쪽 탐색 패널의 클라우드 앱 노드에서 Microsoft Defender for Cloud Apps 기능을 찾을 수 있습니다. 자세한 내용은 "Microsoft Defender for Cloud Apps 설명" 단원을 참조하세요.
보안 운영 센터 최적화
SOC(보안 운영 센터) 팀은 프로세스와 결과를 모두 최적화할 수 있는 기회를 적극적으로 찾습니다.
SOC 최적화는 보안 제어를 최적화할 수 있는 방법을 제시하여 시간이 지남에 따라 Microsoft 보안 서비스로부터 더 많은 가치를 얻습니다.
보고서
보고서는 Microsoft Defender 포털에서 통합됩니다. 관리자는 일반 보안 보고서로 시작하여 엔드포인트, 전자 메일 및 공동 작업, 클라우드 앱, 인프라 및 ID에 대한 특정 보고서로 분기할 수 있습니다. 여기에 있는 링크는 워크로드 구성에 따라 동적으로 생성됩니다.
학습 허브
학습 허브는 사용자를 교육 과정, 자습서, 설명서 및 기타 관련 자료에 액세스할 수 있는 Microsoft Learn으로 연결합니다.
시스템
Defender 포털의 시스템 옵션에는 사용 권한 구성, 서비스 상태 보기 및 일반 설정에 대한 선택 항목이 포함되어 있습니다.