Key Vault용 Microsoft Defender 개요

  • 아티클

Azure Key Vault는 암호화 키와 비밀(예: 인증서, 연결 문자열 및 암호)을 보호하는 클라우드 서비스입니다.

Azure Key Vault에 대한 Azure 네이티브 고급 위협 방지를 위해 Microsoft Defender for Key Vault를 사용하도록 설정하여 또 다른 보안 인텔리전스 계층을 제공합니다.

가용성

측면 세부 정보
릴리스 상태: GA(일반 공급)
가격 책정: Key Vault용 Azure Defender가격 책정 페이지에 표시된 대로 요금이 청구됩니다.
클라우드: 상용 클라우드
국가적(Azure Government, 21Vianet에서 운영하는 Microsoft Azure)

Microsoft Defender for Key Vault의 이점은 무엇인가요?

Microsoft Defender for Key Vault는 Key Vault 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. 이 보호 계층을 사용하면 보안 전문가가 아니더라도 타사 보안 모니터링 시스템을 관리할 필요 없이 위협을 처리할 수 있습니다.

비정상적인 활동이 발생하면 Defender for Key Vault에서 경고를 표시하고 필요에 따라 이메일을 통해 조직의 관련 구성원에게 보냅니다. 이러한 경고에는 의심스러운 활동에 대한 세부 정보 및 위협을 조사하고 완화하는 방법에 대한 추천 사항이 포함됩니다.

Microsoft Defender for Key Vault 경고

Key Vault용 Microsoft Defender에서 경고를 수신하면 Key Vault용 Microsoft Defender에 대응에 설명된 대로 경고를 조사하고 대응하는 것이 좋습니다. Key Vault용 Microsoft Defender는 애플리케이션 및 자격 증명을 보호하므로 경고를 트리거한 애플리케이션이나 사용자에 대해 잘 알고 있는 경우에도 각 경고와 관련된 상황을 확인하는 것이 중요합니다.

경고는 Key Vault의 보안 페이지, 워크로드 보호 및 Defender for Cloud의 보안 경고 페이지에 나타납니다.

Screenshot that shows the Azure Key Vault's security page

Key Vault용 Microsoft Defender에서 Azure Key Vault 위협 탐지의 유효성 검사의 지침에 따라 Key Vault용 Microsoft Defender 경고를 시뮬레이션할 수 있습니다.

Key Vault용 Microsoft Defender 경고에 대응

Key Vault용 Microsoft Defender에서 경고를 수신하면 아래에 설명된 대로 경고를 조사하고 대응하는 것이 좋습니다. Key Vault용 Microsoft Defender는 애플리케이션 및 자격 증명을 보호하므로 경고를 트리거한 애플리케이션이나 사용자에 대해 잘 알고 있는 경우에도 각 경고와 관련된 상황을 확인하는 것이 중요합니다.

Key Vault용 Microsoft Defender의 경고에는 다음 요소가 포함됩니다.

  • 개체 ID
  • 의심스러운 리소스의 사용자 계정 이름 또는 IP 주소

발생한 액세스 유형에 따라 일부 필드를 사용하지 못할 수 있습니다. 예를 들어 애플리케이션에서 Key Vault에 액세스한 경우에는 연결된 사용자 계정 이름이 표시되지 않습니다. 트래픽이 Azure 외부에서 시작된 경우에는 개체 ID가 표시되지 않습니다.

Azure 가상 머신에는 Microsoft IP가 할당됩니다. 이는 경고가 Microsoft 외부에서 수행된 활동과 관련이 있더라도 Microsoft IP를 포함할 수 있음을 의미합니다. 따라서 경고에 Microsoft IP가 있더라도 이 페이지에 설명된 대로 조사해야 합니다.

1단계: 원본 식별

  1. 트래픽이 Azure 테넌트 내에서 시작되었는지를 확인합니다. 키 자격 증명 모음 방화벽이 활성화된 경우, 경고를 트리거한 사용자 또는 애플리케이션에 대한 액세스를 제공했을 가능성이 큽니다.
  2. 트래픽 소스를 확인할 수 없으면 2단계. 적절하게 대응을 계속합니다.
  3. 테넌트에서 트래픽의 소스를 식별할 수 있는 경우, 애플리케이션의 사용자 또는 소유자에게 문의하세요.

주의

Key Vault용 Microsoft Defender는 도난당한 자격 증명으로 인한 의심스러운 활동을 식별하는 데 유용하도록 설계되었습니다. 사용자 또는 애플리케이션을 인식하기 때문에 경고를 해제하지 마세요. 애플리케이션 소유자 또는 사용자에게 문의하고 활동이 합법적인지 확인합니다. 필요한 경우 노이즈를 제거하는 제거 규칙을 만들 수 있습니다. 자세한 내용은 보안 경고 표시 안 함에서 자세히 알아보세요.

2단계: 그에 따라 응답

사용자 또는 애플리케이션을 인식할 수 없거나 액세스 권한이 부여되지 않은 것으로 생각되는 경우, 다음을 수행합니다.

  • 트래픽이 인식할 수 없는 IP 주소에서 발생한 경우 다음을 수행합니다.

    1. Azure Key Vault 방화벽 및 가상 네트워크 구성에 설명된 대로 Azure Key Vault 방화벽을 사용하도록 설정합니다.
    2. 신뢰할 수 있는 리소스 및 가상 네트워크를 사용하여 방화벽을 구성합니다.

  • 경고의 소스가 권한이 없는 애플리케이션 또는 의심스러운 사용자인 경우, 다음을 수행합니다.

    1. 키 자격 증명 모음의 액세스 정책 설정을 엽니다.
    2. 해당 보안 주체를 제거하거나 보안 주체에서 수행할 수 있는 작업을 제한합니다.

  • 경고의 원본에 테넌트의 Microsoft Entra 역할이 있는 경우:

    1. 관리자에게 문의하십시오.
    2. Microsoft Entra 권한을 줄이거나 취소할 필요가 있는지 확인합니다.

3단계: 영향 측정

이벤트가 완화되면 영향을 받은 키 자격 증명 모음의 비밀을 조사합니다.

  1. Azure Key Vault에서 보안 페이지를 열고 트리거된 경고를 확인합니다.
  2. 트리거된 특정 경고를 선택하고 액세스한 비밀 목록과 타임스탬프를 검토합니다.
  3. 키 자격 증명 모음의 진단 로그가 사용하도록 설정된 경우, 필요에 따라 해당 호출자 IP, 사용자 계정 또는 개체 ID에 대한 이전 작업을 검토합니다.

4단계: 작업 수행

의심스러운 사용자 또는 애플리케이션에서 액세스한 비밀, 키 및 인증서 목록을 컴파일한 경우 해당 개체를 즉시 회전해야 합니다.

  1. 영향을 받은 비밀은 키 자격 증명 모음에서 사용하지 않도록 설정하거나 삭제해야 합니다.
  2. 자격 증명이 특정 애플리케이션에 사용된 경우:
    1. 애플리케이션의 관리자에게 손상된 자격 증명이 손상된 후 해당 자격 증명을 사용하는 환경에 대한 감사를 요청합니다.
    2. 손상된 자격 증명이 사용된 경우, 애플리케이션 소유자는 액세스한 정보를 식별하여 영향을 완화해야 합니다.

다음 단계

이 문서에서는 Key Vault용 Microsoft Defender에 대해 알아보았습니다.

관련 자료는 다음 문서를 참조하세요.