보안 제어 v3: 엔드포인트 보안
엔드포인트 보안은 Azure 환경에서 엔드포인트에 대해 EDR(엔드포인트 검색 및 응답) 및 맬웨어 방지 서비스를 사용하는 것을 포함하여 엔드포인트 검색 및 응답의 컨트롤을 포함합니다.
ES-1: EDR(엔드포인트 검색 및 응답) 사용
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.7 | SC-3, SI-2, SI-3, SI-16 | 11.5 |
보안 원칙: VM에 EDR(엔드포인트 감지 및 응답) 기능을 사용하도록 설정하고 SIEM 및 보안 운영 프로세스와 통합합니다.
Azure 지침: 엔드포인트용 Microsoft Defender가 통합된 서버용 Azure Defender는 지능형 위협을 방지, 검색, 조사 및 대응하는 EDR 기능을 제공합니다.
클라우드용 Microsoft Defender를 사용하여 엔드포인트용 서버용 Azure Defender를 배포하고 Azure Sentinel과 같은 SIEM 솔루션에 경고를 통합합니다.
구현 및 추가 컨텍스트:
- 서버용 Azure Defender 소개
- 엔드포인트용 Microsoft Defender 개요
- 컴퓨터에 대한 클라우드용 Microsoft Defender 기능 적용 범위
- SIEM에 서버 통합을 위한 Defender용 커넥터
고객 보안 관련자(자세한 정보):
ES-2: 최신 맬웨어 방지 소프트웨어 사용
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 10.1 | SC-3, SI-2, SI-3, SI-16 | 5.1 |
보안 원칙: 실시간 보호 및 정기 검사가 가능한 맬웨어 방지 솔루션을 사용합니다.
Azure 지침: 클라우드용 Microsoft Defender는 가상 머신 및 Azure Arc가 구성된 온-프레미스 컴퓨터에 대해 많이 사용되는 맬웨어 방지 솔루션을 자동으로 식별하고 엔드포인트 보호 실행 상태를 보고하고 권장 사항을 제시할 수 있습니다.
Microsoft Defender 바이러스 백신은 Windows 서버 2016 이상을 위한 기본 맬웨어 방지 솔루션입니다. Windows Server 2012 R2의 경우 Microsoft Antimalware 확장을 사용하여 SCEP(System Center Endpoint Protection)를 사용하도록 설정하고 클라우드용 Microsoft Defender를 사용하여 상태를 검색하고 평가합니다. Linux VM의 경우 Linux의 엔드포인트용 Microsoft Defender를 사용합니다.
참고: 클라우드용 Microsoft Defender의 Storage용 Defender를 사용하여 Azure Storage 계정에 업로드된 맬웨어를 검색할 수도 있습니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
ES-3: 맬웨어 방지 소프트웨어 및 서명이 업데이트되는지 확인
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 10.2 | SI-2, SI-3 | 5.2 |
보안 원칙: 맬웨어 방지 솔루션을 위해 맬웨어 방지 서명이 빠르고 일관되게 업데이트되도록 합니다.
Azure 지침: 클라우드용 Microsoft Defender 권장 사항: "컴퓨팅 & 앱"에 따라 모든 엔드포인트를 최신 서명으로 최신 상태로 유지합니다. Microsoft 맬웨어 방지 프로그램은 기본적으로 최신 서명 및 엔진 업데이트를 자동 설치합니다. Linux의 경우 타사 맬웨어 방지 솔루션에 서명이 업데이트되어 있는지 확인합니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):