스토리지용 Microsoft Defender 개요

Microsoft Defender for Storage는 스토리지 계정에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지하는 Azure 네이티브 보안 인텔리전스 계층입니다. 고급 위협 탐지 기능 및 Microsoft 위협 인텔리전스 데이터를 사용하여 상황에 맞는 보안 경고를 제공합니다. 이러한 경고에는 검색된 위협을 완화하고 향후 공격을 방지하는 단계도 포함됩니다.

스토리지용 Microsoft Defender는 구독 수준(권장됨) 또는 리소스 수준에서 사용하도록 설정할 수 있습니다.

스토리지용 Defender는 Azure Blob Storage 및 Azure Files 서비스에서 생성된 원격 분석 스트림을 지속적으로 분석합니다. 잠재적으로 악의적인 활동이 감지되면 보안 경고가 생성됩니다. 이러한 경고는 관련 조사 단계, 수정 작업, 보안 권장 사항에 더불어 의심스러운 활동의 세부 정보와 함께 클라우드용 Microsoft Defender에 표시됩니다.

Azure Blob Storage의 분석된 원격 분석에는 Blob 가져오기, Blob 배치, 컨테이너 ACL 가져오기, Blob 나열, Blob 속성 가져오기와 같은 작업 유형이 포함됩니다. 분석된 Azure Files 작업 유형의 예로는 파일 가져오기, 파일 만들기, 파일 나열, 파일 속성 가져오기, 범위 배치가 있습니다.

스토리지용 Defender는 Storage 계정 데이터에 액세스하지 않으며 성능에 영향을 주지 않습니다.

필드의 스토리지용 Defender를 시청하여 제품 관리자로부터 자세히 알아볼 수 있습니다.

가용성

양상 세부 정보
릴리스 상태: GA(일반 공급)
가격 책정: Microsoft Defender for Storage가격 책정 페이지에 표시된 대로 요금이 청구됩니다.
보호된 스토리지 형식: Blob Storage(표준/프리미엄 StorageV2, 블록 Blob)
Azure Files(REST API 및 SMB를 통해)
Azure Data Lake Storage Gen2(계층 구조 네임스페이스를 사용하도록 설정된 표준/프리미엄 계정)
클라우드: 상용 클라우드
Azure Government
Azure 중국 21Vianet
연결된 AWS 계정

Microsoft Defender for Storage의 이점은 무엇인가요?

스토리지용 Defender는 다음을 제공합니다.

  • Azure 네이티브 보안 - 한 번의 클릭으로 Defender for Storage는 Azure Blob, Azure Files 및 Data Lakes에 저장된 데이터를 보호합니다. Azure 네이티브 서비스인 스토리지용 Defender는 Azure에서 관리하는 모든 데이터 자산에 중앙 집중화된 보안을 제공하며 Microsoft Sentinel과 같은 다른 Azure 보안 서비스와 통합됩니다.
  • 다양한 검색 제품군 - Microsoft 위협 인텔리전스로 구동되는 스토리지용 Defender의 검색은 인증되지 않은 액세스, 손상된 자격 증명, 소셜 엔지니어링 공격, 데이터 반출, 권한 남용, 악의적인 콘텐츠 등의 주요 스토리지 위협을 다룹니다.
  • 대규모 응답 - Defender for Cloud의 자동화 도구를 사용하면 식별된 위협을 더 쉽게 예방하고 대응할 수 있습니다. Defender for Cloud 트리거에 대한 응답 자동화에서 자세히 알아보세요.

High-level overview of the features of Microsoft Defender for Storage.

클라우드 기반 스토리지 서비스의 보안 위협

Microsoft 보안 연구원은 스토리지 서비스의 공격 표면을 분석했습니다. Storage 계정은 데이터 손상, 중요한 콘텐츠 노출, 악의적인 콘텐츠 배포, 데이터 반출, 무단 액세스 등의 영향을 받을 수 있습니다.

잠재적인 보안 위험은 클라우드 기반 스토리지 서비스의 위협 매트릭스에 설명되어 있으며 사이버 공격에 채택된 전술 및 기술에 대한 기술 자료인 MITRE ATT&CK® 프레임워크를 기반으로 합니다.

Microsoft's threat matrix for cloud storage security threats.

Microsoft Defender for Storage는 어떤 종류의 경고를 제공하나요?

보안 경고는 다음과 같은 시나리오(일반적으로 이벤트 후 1~2시간)에 대해 트리거됩니다.

위협 유형 설명
계정에 대한 비정상적인 액세스 예를 들어 TOR 종료 노드에서의 액세스, 의심스러운 IP 주소, 비정상적인 애플리케이션, 비정상적인 위치, 인증되지 않은 익명 액세스입니다.
계정의 비정상적인 동작 계정의 액세스 권한 변경, 비정상적인 액세스 검사, 비정상적인 데이터 탐색, Blob/파일의 비정상적인 삭제 또는 비정상적인 데이터 추출과 같은 학습된 기준에서 벗어나는 동작입니다.
해시 평판 기반 맬웨어 검색 전체 Blob/파일 해시를 기반으로 알려진 맬웨어를 검색합니다. 이렇게 하면 랜섬웨어, 바이러스, 스파이웨어, 계정에 업로드된 기타 맬웨어를 감지하고, 조직에 들어오지 못하게 하고, 더 많은 사용자 및 리소스로 확산되는 것을 방지할 수 있습니다. 해시 평판 분석의 제한 사항도 참조하세요.
비정상적인 파일 업로드 계정에 업로드된 비정상적인 클라우드 서비스 패키지 및 실행 파일입니다.
공개 표시 여부 컨테이너를 스캔하고 공개적으로 액세스할 수 있는 컨테이너에서 잠재적으로 중요한 데이터를 끌어와서 침입을 시도할 수 있습니다.
피싱 캠페인 Azure Storage에서 호스트되는 콘텐츠가 Microsoft 365 사용자에게 영향을 주는 피싱 공격의 일부로 식별되는 경우입니다.

경고에는 경고를 트리거한 인시던트의 세부 정보와 위협을 조사하고 완화하는 방법에 대한 권장 사항이 포함됩니다. 경고는 Microsoft Sentinel이나 기타 타사 SIEM 또는 기타 외부 도구로 내보낼 수 있습니다. SIEM, SOAR 또는 IT 서비스 관리 솔루션에 대한 경고 스트리밍에서 자세히 알아봅니다.

모든 스토리지용 Defender 경고의 포괄적인 목록은 경고 참조 페이지를 참조하세요. 이는 검색할 수 있는 위협을 알고 SOC 팀이 검색을 조사하기 전에 감지에 익숙해지도록 돕고자 하는 워크로드 소유자에게 유용합니다. 클라우드용 Defender 보안 경고의 내용과 클라우드용 Microsoft Defender의 보안 경고 관리 및 대응에서 경고를 관리하는 방법에 대해 자세히 알아봅니다.

해시 평판 분석의 제한 사항

  • 해시 평판은 심층적인 파일 검사가 아닙니다. - 스토리지용 Microsoft Defender는 Microsoft 위협 인텔리전스에서 지원하는 해시 평판 분석을 사용하여 업로드된 파일이 의심스러운지 여부를 확인합니다. 위협 방지 도구는 업로드된 파일을 검사하지 않습니다. 오히려 Blob Storage 및 Files 서비스에서 생성된 원격 분석을 분석합니다. 그런 다음, 스토리지용 Defender는 새로 업로드된 파일의 해시를 알려진 바이러스, 트로이 목마, 스파이웨어, 랜섬웨어의 해시와 비교합니다.

  • 해시 평판 분석은 모든 파일 프로토콜 및 작업 유형에 대해 지원되지 않습니다. - 일부 원격 분석 로그에는 관련 Blob 또는 파일의 해시 값이 포함되어 있지만 전부는 아닙니다. 경우에 따라 원격 분석에 해시 값이 포함되지 않습니다. 따라서 알려진 맬웨어 업로드에 대해 일부 작업을 모니터링할 수 없습니다. 이러한 지원되지 않는 사용 사례의 예로는 SMB 파일 공유 및 블록 배치블록 배치 목록을 사용하여 Blob을 만드는 경우 등이 있습니다.

파일에 맬웨어가 들어 있는 것으로 의심되면 Defender for Cloud는 경고를 표시하고 경우에 따라 의심스러운 파일을 삭제하기 위해 스토리지 소유자에 삭제 승인을 요청하는 이메일을 보낼 수 있습니다. 해시 평판 분석 결과, 맬웨어를 포함하고 있는 것으로 보이는 파일을 자동으로 제거하도록 설정하려면 "스토리지 계정에 잠재적 맬웨어가 업로드"되었다는 내용의 경고 발생 시 트리거되는 워크플로 자동화를 배포합니다.

스토리지용 Defender 사용

구독에서 이 Defender 플랜을 사용하도록 설정하면 모든 기존 Azure Storage 계정이 보호되고 나중에 해당 구독에 추가된 모든 스토리지 리소스도 자동으로 보호됩니다.

Azure Storage 설명서의 클라우드용 Microsoft Defender 설정에 설명된 여러 가지 방법으로 스토리지용 Defender를 사용하도록 설정할 수 있습니다.

FAQ - 스토리지용 Microsoft Defender

계정 수준에서 요금을 예측하려면 어떻게 해야 하나요?

비용을 최적화하기 위해 스토리지용 Defender 보호에서 높은 트래픽과 연결된 특정 Storage 계정을 제외할 수 있습니다. 스토리지용 Defender 비용의 추정치를 얻으려면 가격 예측 대시보드를 사용합니다.

보호된 구독에서 특정 Azure Storage 계정을 제외할 수 있나요?

구독에서 스토리지용 Defender를 사용하도록 설정된 경우 특정 Storage 계정을 제외하려면 스토리지용 Microsoft Defender 보호에서 스토리지 계정 제외의 지침을 따릅니다.

보안 경고에 대한 자동 응답을 구성하려면 어떻게 해야 하나요?

워크플로 자동화를 사용하여 클라우드용 Defender 보안 경고에 대한 자동 응답을 트리거합니다.

예를 들어 외부 작업 관리 시스템에서 특정 담당자 또는 팀의 작업 또는 티켓을 열도록 자동화를 설정할 수 있습니다.

ServiceNow 자동화, Jira 자동화, Azure DevOps 자동화, Slack 자동화 또는 사용자 고유의 빌드와 같은 클라우드용 Defender 커뮤니티 페이지에서 사용할 수 있는 자동화를 살펴봅니다.

자동 응답에 자동화 사용 - 사용자 고유를 정의하거나 커뮤니티에서 즉시 만든 자동화(예: 검색 시 악성 파일 제거)를 사용합니다. 더 많은 솔루션을 보려면 GitHub의 Microsoft 커뮤니티를 방문하세요. 

다음 단계

이 문서에서는 Microsoft Defender for Storage에 대해 알아보았습니다.