Microsoft의 통합 보안 운영 플랫폼이란?
Microsoft의 통합 보안 운영 플랫폼은 SecOps(엔드 투 엔드 보안 작업)를 위한 단일 플랫폼을 제공합니다. SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션, 자동화 및 대응), XDR(확장 검색 및 대응), 자세 및 노출 관리, 클라우드 보안, 위협 인텔리전스 및 생성 AI 솔루션을 통합합니다.
이러한 모든 기능을 다루기 위해 Microsoft의 통합 SecOps 플랫폼은 Microsoft Defender XDR, Microsoft Sentinel, Microsoft 보안 노출 관리 및 같은 서비스를 결합합니다.Microsoft Defender 포털에서 Microsoft Security Copilot. 더 많은 Microsoft Defender 서비스를 통합하여 보안을 추가하고 정교한 공격에 대한 통합된 보호를 제공합니다. Defender 포털은 침해 전 및 사후 사이버 보안 위험 및 위협에 대해 모니터링, 검색, 조사, 수정 및 대응할 수 있는 단일 위치를 제공합니다.
자산 보호
Microsoft의 통합 SecOps 플랫폼에서 Defender XDR, Microsoft Sentinel 및 기타 Defender 서비스를 통합하여 광범위한 자산을 보호합니다.
Microsoft Defender XDR 서비스에는 다음과 같은 자산 보호 기능이 포함됩니다.
| 기능 | 보안 제품 |
|---|---|
| Microsoft Entra ID 위협을 식별, 검색 및 조사합니다. | Microsoft Defender for Identity |
| 전자 메일 메시지, URL 링크 및 Office 365 협업 도구로 인한 위협으로부터 보호합니다. | Office 365용 Microsoft Defender |
| 엔드포인트 디바이스를 모니터링하고 보호합니다. 디바이스 위반을 모니터링, 검색 및 조사하고 보안 위협에 자동으로 대응합니다. | 엔드포인트용 Microsoft Defender |
| Defender XDR 보호를 OT 환경으로 확장하여 OT(운영 기술) 및 IT 리소스를 식별하고 보호합니다. | IoT용 Microsoft Defender |
| 자산 및 소프트웨어 인벤토리를 식별하고 디바이스 상태를 평가하여 보안 취약성을 찾습니다. | Microsoft Defender 취약성 관리 |
| SaaS 클라우드 앱에 대한 액세스를 보호하고 제어합니다. | Microsoft Defender for Cloud Apps |
Microsoft Defender XDR 사용이 허가되지 않은 서비스에 대한 자산 보호에는 다음 기능이 포함됩니다.
| 기능 | 보안 제품 |
|---|---|
| 비 Microsoft 및 온-프레미스 디바이스, 서비스 및 솔루션을 모니터링하고 보호합니다. | Microsoft Sentinel |
| 자산을 검색 및 평가하고 위험을 수정하여 공격 표면을 줄입니다. | Microsoft 보안 노출 관리 |
| 다중 클라우드 및 온-프레미스 보안 태세를 개선하고 위협으로부터 클라우드 워크로드를 보호합니다. | Microsoft Defender for Cloud |
보안 관리 간소화
엔드포인트, ID, 클라우드 앱 및 워크로드 및 organization 전자 메일의 엔드 투 엔드-투-엔드 사전 및 사후 보호를 위해 Defender XDR, Microsoft Sentinel 등의 Microsoft 보안 서비스를 결합합니다.
Defender 포털은 조직 보안 상태 및 위협 탐지 및 대응에 대한 중앙 집중식 단일 보기를 제공합니다. 보안 위험 및 위반에 대한 정보를 함께 그룹화하는 결합된 인시던트 큐를 제공합니다.
분석가는 통합 보안 대시보드를 통해 분석가가 organization 사일로를 교차하고, 가장 중요한 위협의 우선 순위를 지정하고, 시도된 위반을 효과적으로 추적할 수 있으므로 분석가 시간을 확보합니다.
다음 이미지는 여러 서비스 원본의 인시던트가 있는 Microsoft 통합 SecOps 플랫폼의 통합 인시던트 큐를 보여 줍니다.
보안 위험 감소 및 공격 방지
조직 위험 관리 프레임워크의 일부로 보안 위험을 지속적으로 줄이고 사이버 보안 공격을 방지합니다. Microsoft의 통합 SecOps 플랫폼은 포괄적인 노출 관리 및 클라우드 보호 기능을 제공합니다. 클라우드용 Microsoft 보안 노출 관리 및 Microsoft Defender 사용:
- 조직 자산을 지속적으로 검색하고 보안 상태를 평가합니다.
- 코드에서 런타임까지 클라우드 워크로드를 보호합니다.
- 데이터 및 위협 인텔리전스를 집계하여 잠재적인 공격 경로 분석을 포함하여 보안 격차 및 약점을 검색합니다.
- 조사하고 쿼리하여 보안 상태에 대한 인사이트를 얻습니다.
- 중요한 리소스에 중점을 두고 자산 수정의 우선 순위를 지정하여 보안 격차와 공격 노출 영역을 줄입니다.
다음 이미지는 Microsoft의 통합 SecOps 플랫폼에서 노출 관리에 대한 개요 페이지를 보여 줍니다.
위협 탐지 및 대응 시간 줄이기
Standard 사이버 보안 메트릭은 TTD(검색 시간) 및 TTR(응답 시간)에 초점을 맞춥니다. TTD(감지 시간)는 보안 팀이 인시던트를 검색하는 데 걸리는 시간을 측정합니다. TTR(Time to Respond)은 위협이 감지된 후 대응하는 데 걸리는 시간을 측정합니다. TTD 및 TTR이 짧을수록 검색 및 응답 전략이 더 효과적입니다.
Microsoft의 통합 SecOps 플랫폼은 Defender 제품, Microsoft Sentinel, Microsoft 보안 연구 및 위협 인텔리전스의 수백만 신호를 상호 연결하여 진행 중인 공격을 식별합니다. 자동으로 공격을 포함하도록 자동 공격 중단을 시작하여 횡적 이동을 조기에 제한하고 공격 영향을 줄입니다. 자동 공격 중단은 생산성 손실과 관련된 비용을 줄이고, SecOps 팀 제어를 제어하여 손상된 자산을 조사하고 수정하는 데 도움이 됩니다.
자동 공격 중단은 디바이스를 포함하고 공격을 완화하기 위해 사용자를 포함하거나 사용하지 않도록 설정하여 위협에 대응합니다.
다음 이미지는 자동 공격 중단이 트리거된 인시던트 예를 보여줍니다.
자세한 내용은 Microsoft Defender XDR 자동 공격 중단을 참조하세요.
AI를 사용하여 SOC 생산성 변환
Microsoft Security Copilot SOC 팀이 공격에 더 빠르고 효과적으로 대응할 수 있도록 AI와 인간의 전문 지식을 결합합니다. Security Copilot 보안 팀이 인시던트 요약, 스크립트 및 코드 분석, 파일 분석, 디바이스 정보 요약, 단계별 응답을 사용하여 인시던트 resolve, KQL 쿼리 생성 및 인시던트 보고서를 만들 수 있도록 Defender 포털에 포함되어 있습니다. Security Copilot 다음을 수행할 수 있습니다.
- 노출을 줄이고 자세를 개선합니다. 중요한 노출 위험 및 위험 감소 권장 사항을 파악하기 위한 인사이트를 사용하여 위반을 방지합니다.
- 위협을 방지하고 방해합니다. 인시던트 요약 MITRE ATT&CK 프레임워크 매핑 및 자동 경고 보강을 사용하여 식별하고 우선 순위를 지정합니다.
-
분석가 권한 부여:
- 단계별 응답, 자동화된 수정 및 요약 보고서 생성을 사용하여 인시던트 해결을 가속화합니다.
- 악의적인 스크립트 및 파일을 분석하고 KQL 쿼리를 제안하는 모범 사례를 기반으로 맞춤형 프롬프트를 통해 지능형 지원을 제공합니다.
다음 이미지는 Defender 포털의 인시던트 페이지에서 Microsoft Copilot 통합을 보여 줍니다.
자세한 내용은 Microsoft Defender Microsoft Copilot 참조하세요.