Azure Advanced Threat Protection이란?What is Azure Advanced Threat Protection?

Azure ATP(Advanced Threat Protection)는 온-프레미스 Active Directory 신호를 활용하여 고급 위협, 손상된 ID 및 사용자의 조직을 대상으로 한 악의적인 내부자 작업을 식별하고 검색하고 조사하는 클라우드 기반 보안 솔루션입니다.Azure Advanced Threat Protection (ATP) is a cloud-based security solution that leverages your on-premises Active Directory signals to identify, detect, and investigate advanced threats, compromised identities, and malicious insider actions directed at your organization.

Azure ATP을 사용하면 SecOp 분석가 및 보안 전문가가 하이브리드 환경에서 고급 공격을 검색하는 데 노력을 기울일 수 있습니다.Azure ATP enables SecOp analysts and security professionals struggling to detect advanced attacks in hybrid environments to:

  • 모니터링 사용자, 엔터티 동작 및 학습 기반 분석을 사용한 활동Monitor users, entity behavior, and activities with learning-based analytics
  • Active Directory에 저장된 사용자 ID 및 자격 증명 보호Protect user identities and credentials stored in Active Directory
  • 킬 체인 전체에 걸친 고급 공격 및 의심스러운 사용자 활동 식별 및 조사Identify and investigate suspicious user activities and advanced attacks throughout the kill chain
  • 신속한 심사를 위해 단순한 타임라인에 대한 명확한 인시던트 정보 제공Provide clear incident information on a simple timeline for fast triage

사용자 동작 및 작업을 모니터링 및 프로파일링Monitor and profile user behavior and activities

Azure ATP는 사용 권한 및 그룹 구성원 자격 같이 사용자 네트워크를 통한 사용자 작업 및 정보를 모니터링 및 분석하여 각 사용자에 대한 동작 기준을 만듭니다.Azure ATP monitors and analyzes user activities and information across your network, such as permissions and group membership, creating a behavioral baseline for each user. 그런 다음, Azure ATP은 기본 제공 적응형 인텔리전스를 사용하여 이상 현상을 파악하여 의심스러운 활동과 이벤트에 대한 인사이트를 제공하고 고급 위협, 손상된 사용자 및 조직이 직면한 내부자 위협을 밝혀냅니다.Azure ATP then identifies anomalies with adaptive built-in intelligence, giving you insights into suspicious activities and events, revealing the advanced threats, compromised users, and insider threats facing your organization. Azure ATP의 전용 센서는 조직의 도메인 컨트롤러를 모니터링하면서 모든 디바이스에서의 모든 사용자 활동을 포괄적으로 확인할 수 있습니다.Azure ATP's proprietary sensors monitor organizational domain controllers, providing a comprehensive view for all user activities from every device.

사용자 ID 보호 및 공격 노출 영역 축소Protect user identities and reduce the attack surface

Azure ATP는 ID 구성 및 제안된 보안 모범 사례에 관한 귀중한 인사이트를 제공합니다.Azure ATP provides you invaluable insights on identity configurations and suggested security best-practices. 보안 보고서 및 사용자 프로필 분석을 통해 Azure ATP는 조직의 공격 노출 영역을 크게 줄일 수 있으며, 사용자 자격 증명을 손상시키고 공격을 계속 진행하는 것을 어렵게 만듭니다.Through security reports and user profile analytics, Azure ATP helps dramatically reduce your organizational attack surface, making it harder to compromise user credentials, and advance an attack. Azure ATP의 시각적 횡적 이동 경로를 통해 사용자는 이러한 위험을 사전에 방지하는 데 중요한 지원 및 계정을 손상하기 위해 공격자가 조직 내부에서 어떻게 횡적으로 이동할 수 있는지 정확하고 신속하게 파악할 수 있습니다.Azure ATP's visual Lateral Movement Paths help you quickly understand exactly how an attacker can move laterally inside your organization to compromise sensitive accounts and assists in preventing those risks in advance. Azure ATP 보안 보고서를 통해 일반 텍스트 암호를 사용하여 인증하는 사용자 및 디바이스를 확인하고, 조직의 보안 상태 및 정책을 개선하기 위한 추가 정보를 제공할 수 있습니다.Azure ATP security reports help you identify users and devices that authenticate using clear-text passwords and provide additional insights to improve your organizational security posture and policies.

의심스러운 활동 및 사이버 공격 킬 체인을 통한 고급 공격 식별Identify suspicious activities and advanced attacks across the cyber-attack kill-chain

일반적으로 공격은 낮은 권한의 사용자 같이 액세스 가능한 모든 엔터티에 대해 이뤄진 다음, 공격자가 중요한 계정, 도메인 관리자 및 매우 중요한 데이터와 같은 중요한 자산에 액세스 권한을 획득할 때까지 신속히 횡적으로 이동됩니다.Typically, attacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets – such as sensitive accounts, domain administrators, and highly sensitive data. Azure ATP는 전체 사이버 공격 킬 체인에 걸쳐 원본에 대한 이러한 고급 위협 요소를 식별합니다.Azure ATP identifies these advanced threats at the source throughout the entire cyber-attack kill chain:

정찰Reconnaissance

악의적인 사용자와 공격자가 정보를 얻으려는 시도를 식별합니다.Identify rogue users and attackers' attempts to gain information. 공격자는 다양한 방법을 통해 사용자 이름, 사용자의 그룹 구성원 자격, 디바이스에 할당된 IP 주소, 리소스 등에 대한 정보를 검색합니다.Attackers are searching for information about user names, users' group membership, IP addresses assigned to devices, resources, and more, using a variety of methods.

손상된 자격 증명Compromised credentials

무차별 암호 대입 공격(brute force attack), 실패한 인증, 사용자 그룹 구성원 자격 변경 및 기타 방법을 사용하여 사용자 자격 증명을 손상시키려는 시도를 식별합니다.Identify attempts to compromise user credentials using brute force attacks, failed authentications, user group membership changes, and other methods.

횡적 이동Lateral movements

Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash 등의 메서드를 활용하여 중요한 사용자를 추가로 제어하기 위해 네트워크 내에서 횡적으로 이동하려는 시도를 검색합니다.Detect attempts to move laterally inside the network to gain further control of sensitive users, utilizing methods such as Pass the Ticket, Pass the Hash, Overpass the Hash and more.

도메인 우위Domain dominance

DC 섀도, 악의적인 도메인 컨트롤러 복제, 골든 티켓 활동 등 도메인 컨트롤러 및 메서드에 대한 원격 코드 실행을 통해 도메인 우위를 획득하는 경우 공격자 동작을 강조 표시합니다.Highlighting attacker behavior if domain dominance is achieved, through remote code execution on the domain controller, and methods such as DC Shadow, malicious domain controller replication, Golden Ticket activities, and more.

경고 및 사용자 활동 조사Investigate alerts and user activities

Azure ATP는 일반 경고 노이즈를 줄이도록 설계되었으며, 간단한 실시간 조직 공격 타임라인에 중요한 보안 경고만 제공합니다.Azure ATP is designed to reduce general alert noise, providing only relevant, important security alerts in a simple, real-time organizational attack timeline. Azure ATP 공격 타임라인 보기를 사용하면 스마트 분석 인텔리전스를 활용하여 중요한 문제에 쉽게 집중할 수 있습니다.The Azure ATP attack timeline view allows you to easily stay focused on what matters, leveraging the intelligence of smart analytics. Azure ATP를 사용하여 신속하게 위협을 조사하고 조직 전체에서 사용자, 디바이스 및 네트워크 리소스에 대한 정보를 얻을 수 있습니다.Use Azure ATP to quickly investigate threats, and gain insights across the organization for users, devices, and network resources. Microsoft Defender ATP와의 원활한 통합은 운영 체제에서 지속적인 고급 위협에 대한 추가 검색과 보호 조치를 통해 다른 계층의 향상된 보안을 제공합니다.Seamless integration with Microsoft Defender ATP provides another layer of enhanced security by additional detection and protection against advanced persistent threats on the operating system.

Azure ATP에 대한 추가 리소스Additional resources for Azure ATP

무료 평가판 시작Start a free trial

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Microsoft Tech Community의 Azure ATP를 따름Follow Azure ATP on Microsoft Tech Community

https://techcommunity.microsoft.com/t5/Azure-Advanced-Threat-Protection/bd-p/AzureAdvancedThreatProtection

Azure ATP Yammer 커뮤니티 조인Join the Azure ATP Yammer community

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Azure RMS 제품 페이지 방문Visit the Azure ATP product page

https://azure.microsoft.com/features/azure-advanced-threat-protection/

Azure ATP 아키텍처에 대해 자세히 알아보기Learn more about Azure ATP architecture

Azure ATP 아키텍처Azure ATP Architecture

Microsoft IgniteMicrosoft Ignite

Microsoft Ignite 2018에는 Azure Advanced Threat Protection에 초첨을 맞춘 여러 세션이 포함되어 있습니다.Microsoft Ignite 2018 featured multiple sessions focused on Azure Advanced Threat Protection. 세션이 기록되었으므로 이벤트를 놓친 경우 여기에서 시청하는 것이 좋습니다.Sessions were recorded, so if you missed the event, we recommend you watch here:

Azure ATPAzure ATP

BRK3117 - Azure ATP를 사용하여 SecOp 및 인시던트 응답 - YouTube 비디오 시청하기BRK3117 - SecOp and incident response with Azure ATP - watch the YouTube video

Azure ATP 및 Azure AD ID IP(Active Directory ID 보호)Azure ATP and Azure AD IP (Active Directory Identity Protection)

BRK3237 - Azure AD ID 보호 및 Azure ATP를 사용하여 하이브리드 클라우드 환경 보안 - YouTube 비디오 시청하기BRK3237 - Securing your hybrid cloud environment with Azure AD Identity Protection and Azure ATP - watch the YouTube video

BRK2157 - Microsoft Information Protection 솔루션의 배포 및 채택 가속화 - YouTube 비디오 시청하기BRK2157 - Accelerate deployment and adoption of Microsoft Information Protection solutions - watch the YouTube video

Ignite 2018에서 발표된 Azure ATP 공지 사항 요약은 블로그 게시물 Azure Advanced Threat Protection 확장 통합, 검색 및 포렌식 기능을 참조하세요.For a summary of Azure ATP announcements that were made at Ignite 2018, see the blog post - Azure Advanced Threat Protection Expands Integrations, Detections, and Forensic Capabilities.

다음 단계What's next?

Azure ATP는 다음 3단계로 배포하는 것이 좋습니다.We recommend deploying Azure ATP in three phases:

1단계Phase 1

  1. 기본 환경을 보호하기 위해 Azure ATP를 설정합니다.Set up Azure ATP to protect your primary environments. Azure ATP의 빠른 배포 모델을 사용하면 오늘부터 조직 보호를 시작할 수 있습니다.Azure ATP's fast deployment model enables you to start protecting your organization today. Azure ATP 설치Install Azure ATP
  2. 중요한 계정허니 토큰 계정을 설정합니다.Set sensitive accounts and honeytoken accounts.
  3. 보고서 및 횡적 이동 경로를 검토합니다.Review reports and lateral movement paths.

2단계Phase 2

  1. 조직의 모든 도메인 컨트롤러 및 포리스트를 보호합니다.Protect all the domain controllers and forests in your organization.
  2. 모든 경고 모니터링 – 횡적 이동 및 도메인 우위 경고를 조사합니다.Monitor all alerts – investigate lateral movement & domain dominance alerts.
  3. 보안 경고 가이드를 사용하여 위협 요소를 이해하고 잠재적인 공격을 심사합니다.Work with the Security Alert guide to understand threats and triage potential attacks.

3단계Phase 3

  1. Azure ATP 경고를 SecOp 워크플로에 통합합니다.Integrate Azure ATP alerts into your SecOp workflows.

참고 항목See Also