위협 인텔리전스 보고서 생성
보안 경고를 심사 및 조사하는 작업은 가장 숙련된 보안 분석가라도 많은 시간이 걸릴 수 있습니다. 어디서부터 시작해야 할지 알지 못하는 경우도 많습니다.
클라우드용 Defender는 분석을 사용하여 고유한 보안 경고 간에 정보를 연결합니다. 해당 연결을 통해 클라우드용 Defender는 공격자의 공격 캠페인 및 관련 경고에 대한 단일 보기를 제공하여 공격자의 작업 및 영향을 받는 리소스를 이해할 수 있도록 도움을 줍니다.
인시던트는 보안 경고 페이지에 표시됩니다. 인시던트를 선택하여 관련 경고를 확인하고 자세한 정보를 확인하세요.
클라우드용 Defender 개요 페이지에서 보안 경고 타일을 선택합니다. 인시던트 및 경고가 나열됩니다. 보안 인시던트에는 보안 경고와 다른 아이콘이 있습니다.
세부 정보를 보려면 인시던트를 선택합니다. 보안 인시던트 페이지에 자세한 정보가 표시됩니다.
보안 인시던트 페이지의 왼쪽 창에는 보안 인시던트에 대한 높은 수준의 정보(제목, 심각도, 상태, 작업 시간, 설명, 영향을 받는 리소스)가 표시됩니다. 영향을 받는 리소스 옆에 관련 Azure 태그를 볼 수 있습니다. 해당 태그를 사용하여 경고를 조사할 때 리소스의 조직 컨텍스트를 유추합니다.
오른쪽 창에는 인시던트의 일부로 서로 상관관계가 있는 보안 경고와 경고 탭이 있습니다.
작업 수행 탭으로 전환하려면 오른쪽 창 아래에 있는 탭이나 단추를 선택합니다. 이 탭을 사용하여 다음과 같은 추가 작업을 수행할 수 있습니다.
위협 완화 - 보안 인시던트에 대하여 수동으로 수정할 수 있는 단계를 제공합니다.
향후 공격 방지 - 공격 노출 영역을 줄이고 보안 상태를 높이며 향후 공격을 방지하는 데 도움이 되는 보안 권장 사항을 제공합니다.
자동 응답 트리거 - 보안 인시던트에 대한 대응으로 논리 앱을 트리거하는 옵션을 제공합니다.
유사한 경고 표시 안 함-경고가 조직과 관련이 없는 경우 유사한 특성을 가진 경고는 표시하지 않는 옵션을 제공합니다.
인시던트의 위협을 수정하려면 각 경고와 함께 제공되는 수정 단계를 따릅니다.
위협 인텔리전스 보고서 생성
클라우드용 Defender 위협 방지는 Azure 리소스, 네트워크 및 연결된 파트너 솔루션의 보안 정보를 모니터링하는 방식으로 작동합니다. 위협을 식별하도록 종종 여러 소스의 정보를 상호 연결하는 이 정보를 분석합니다.
클라우드용 Defender에서 위협을 식별하면 수정 제안을 포함하여 특정 이벤트와 관련된 자세한 정보가 표시된 보안 경고를 트리거합니다. 클라우드용 Defender는 위협에 대한 정보를 포함하는 위협 인텔리전스 보고서를 제공하여 인시던트 대응 팀이 위협을 조사하고 수정할 수 있도록 지원합니다. 보고서에는 다음과 같은 정보가 포함됩니다.
공격자의 ID 또는 연결(이 정보가 제공되는 경우)
공격자의 목표
현재 및 과거 공격 캠페인(이 정보가 제공되는 경우)
공격자의 전술, 도구 및 프로시저
URL, 파일 해시 등 관련 IoC(보안 침해 지표)
피해자 유형(Azure 리소스가 위험한 상태에 있는지 결정하는 데 도움이 되는 산업적 유행 및 지리적 유행)
마이그레이션 및 수정 정보
클라우드용 Defender에는 공격에 따라 달라질 수 있는 세 가지 유형의 위협 보고서가 있습니다. 제공되는 보고서는 다음과 같습니다.
그룹 활동 보고서 - 공격자 및 이들의 목표와 전술에 대해 자세히 설명합니다.
캠페인 보고서: 특정 공격 캠페인의 세부 정보에 중점을 둡니다.
위협 요약 보고서: 이전 두 보고서의 모든 항목을 포함하고 있습니다.
해당 유형의 정보는 공격의 소스, 공격자의 동기, 문제를 완화하기 위한 조치를 파악하기 위해 지속적인 조사를 진행하는 인시던트 대응 프로세스에서 유용합니다.
위협 인텔리전스 보고서에 액세스하려면 다음을 수행합니다.
보고서를 생성하려면:
클라우드용 Defender의 사이드바에서 보안 경고 페이지를 엽니다.
경고를 선택합니다. 경고에 대한 자세한 내용이 포함된 경고 정보 페이지가 열립니다. 다음은 랜섬웨어 지표에 감지된 경고의 세부 정보 페이지입니다.
보고서 링크를 선택하면 기본 브라우저에서 PDF가 열립니다.