클라우드용 Microsoft Defender의 새로운 기능은 무엇인가요?

  • 아티클
  • 읽는 데 52분 걸림

클라우드용 Defender는 현재 개발 중이며 지속적으로 개선되고 있습니다. 이 페이지에서는 최신 개발 정보를 제공하기 위해 새로운 기능, 버그 수정 및 사용되지 않는 기능에 대한 정보를 제공합니다.

이 페이지는 자주 업데이트되므로 자주 다시 방문하세요.

클라우드용 Defender에 곧 제공될 계획된 변경 내용에 대해 알아보려면 클라우드용 Microsoft Defender에 대한 중요 변경 내용을 참조하세요.

6개월 이상이 지난 항목을 찾고 있는 경우 클라우드용 Microsoft Defender의 새로운 기능 보관에서 찾을 수 있습니다.

2022년 7월

7월의 업데이트는 다음과 같습니다.

Kubernetes 런타임 보호를 위한 클라우드 네이티브 보안 에이전트의 GA(일반 공급)

Kubernetes 런타임 보호를 위한 클라우드 네이티브 보안 에이전트가 이제 GA(일반 공급)되었음을 알려드리게 되어 기쁩니다!

고객이 애플리케이션을 계속 컨테이너화함에 따라 Kubernetes 클러스터의 프로덕션 배포는 계속해서 증가하고 있습니다. 이러한 성장을 지원하기 위해 컨테이너용 Defender 팀은 클라우드 네이티브 Kubernetes 지향 보안 에이전트를 개발했습니다.

새로운 보안 에이전트는 eBPF 기술을 기반으로 하는 Kubernetes DaemonSet이며 AKS 보안 프로필의 일부로 AKS 클러스터에 완전히 통합됩니다.

보안 에이전트 사용하도록 설정은 자동 프로비저닝, 권장 사항 흐름, AKS RP를 통해 또는 Azure Policy를 사용하여 대규모로 사용할 수 있습니다.

이제 AKS 클러스터에 Defender 프로필을 배포할 수 있습니다.

이번 발표로 런타임 보호 - 위협 감지(워크로드)도 이제 일반 공급됩니다.

컨테이너용 Defender의 사용 가능한 기능에 대해 자세히 알아봅니다.

사용 가능한 모든 경고을 검토할 수도 있습니다.

미리 보기 버전을 사용하는 경우 AKS-AzureDefender 기능 플래그가 더 이상 필요하지 않습니다.

2022년 6월

6월의 업데이트는 다음과 같습니다.

Azure Cosmos DB용 Microsoft Defender의 GA(일반 공급)

Azure Cosmos DB용 Microsoft Defender는 이제 GA(일반 공급)되며 SQL(핵심) API 계정 유형을 지원합니다.

GA에 대한 이 새로운 릴리스는 다양한 유형의 SQL 데이터베이스 및 MariaDB를 포함하는 클라우드용 Microsoft Defender 데이터베이스 보호 제품군의 일부입니다. Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정의 데이터베이스를 악용하려는 모든 시도를 검색하는 Azure 네이티브 보안 계층입니다.

이 계획을 사용하도록 설정하면 잠재적인 SQL 삽입, 알려진 악의적인 행위자, 의심스러운 액세스 패턴 및 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스의 잠재적 탐색에 대한 경고가 표시됩니다.

잠재적으로 악의적인 활동이 감지되면 보안 경고가 생성됩니다. 이러한 경고는 관련 조사 단계, 수정 작업, 보안 권장 사항과 더불어 의심스러운 활동의 세부 정보를 제공합니다.

Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 서비스에서 생성한 원격 분석 스트림을 지속적으로 분석하고 Microsoft Threat Intelligence 및 동작 모델과 교차하여 의심스러운 활동을 검색합니다. Azure Cosmos DB용 Defender는 Azure Cosmos DB 계정 데이터에 액세스하지 않으며 데이터베이스의 성능에 영향을 주지 않습니다.

Azure Cosmos DB용 Microsoft Defender에 대해 자세히 알아보세요.

Azure Cosmos DB에 대한 지원이 추가됨에 따라 클라우드용 Defender는 이제 클라우드 기반 데이터베이스에 대한 가장 포괄적인 워크로드 보호 제품 중 하나를 제공합니다. 보안 팀 및 데이터베이스 소유자는 이제 중앙 집중식 환경에서 해당 환경의 데이터베이스 보안을 관리할 수 있습니다.

데이터베이스에 대해 보호를 사용하도록 설정하는 방법을 알아봅니다.

AWS 및 GCP 환경용 컴퓨터의 SQL용 Defender의 GA(일반 공급)

클라우드용 Microsoft Defender에서 제공하는 데이터베이스 보호 기능에 AWS 또는 GCP 환경에서 호스트되는 SQL 데이터베이스에 대한 지원이 추가되었습니다.

이제 엔터프라이즈는 SQL용 Defender를 사용하여 Azure, AWS, GCP 및 온-프레미스 컴퓨터에서 호스트되는 전체 데이터 자산을 보호할 수 있습니다.

SQL용 Microsoft Defender는 SQL 서버 및 기본 Windows OS 모두에 대한 보안 권장 사항, 보안 경고, 취약성 평가 결과를 볼 수 있는 통합 다중 클라우드 환경을 제공합니다.

다중 클라우드 온보딩 환경을 사용하여 AWS EC2, RDS Custom for SQL Server 및 GCP 컴퓨팅 엔진에서 실행되는 SQL 서버에 대해 데이터베이스 보호를 사용하도록 설정하고 적용할 수 있습니다. 이러한 플랜 중 하나를 사용하도록 설정하면 구독 내에 존재하는 지원되는 모든 리소스가 보호됩니다. 동일한 구독에서 만들어진 향후 리소스도 보호됩니다.

클라우드용 Microsoft Defender로 AWS 환경GCP 조직을 보호하고 연결하는 방법을 알아보세요.

보안 태세 향상을 위한 보안 권장 사항 구현 추진

오늘날 조직에 대한 위협이 증가함에 따라 확장 중인 워크로드를 보호하기 위해 보안 담당자의 제한이 늘어나고 있습니다. 보안 팀은 보안 정책에 정의된 보호를 구현해야 합니다.

이제 보안 팀은 거버넌스 환경을 통해 리소스 소유자에게 보안 수정 권장 사항을 할당하고 수정 일정을 요구할 수 있습니다. 수정 진행 상황에 대한 완전한 투명성을 확보하고 작업이 지연되면 알림을 받을 수 있습니다.

조직이 권장 사항 거버넌스를 사용하여 보안 문제를 해결하도록 추진에서 거버넌스 환경에 대해 자세히 알아보세요.

IP 주소별로 보안 경고 필터링

대부분 공격의 경우 사용자는 공격과 관련된 엔터티의 IP 주소를 기반으로 경고를 추적하려고 합니다. 지금까지 IP는 단일 경고 블레이드의 "관련 엔터티" 섹션에만 표시되었습니다. 이제 보안 경고 블레이드에서 경고를 필터링하여 IP 주소와 관련된 경고를 확인하고 특정 IP 주소를 검색할 수 있습니다.

클라우드용 Defender 경고의 IP 주소 필터 스크린샷.

리소스 그룹별 경고

리소스 그룹별로 필터링, 정렬 및 그룹화할 수 있는 기능이 보안 경고 페이지에 추가되었습니다.

리소스 그룹 열이 경고 그리드에 추가되었습니다.

새로 추가된 리소스 그룹 열의 스크린샷.

특정 리소스 그룹에 대한 모든 경고를 볼 수 있는 새 필터가 추가되었습니다.

새 리소스 그룹 필터를 보여 주는 스크린샷.

이제 리소스 그룹별로 경고를 그룹화하여 각 리소스 그룹에 대한 모든 경고를 볼 수도 있습니다.

리소스 그룹별로 그룹화된 경고를 보는 방법을 보여 주는 스크린샷.

엔드포인트용 Microsoft Defender 통합 솔루션의 자동 프로비저닝

지금까지 MDE(엔드포인트용 Microsoft Defender)와의 통합에는 서버용 Defender Plan 1이 사용하도록 설정된 컴퓨터(Azure 구독 및 다중 클라우드 커넥터) 및 서버용 Defender 플랜 2가 사용하도록 설정된 멀티클라우드 커넥터에 대한 MDE 통합 솔루션의 자동 설치가 포함되었습니다. Azure 구독을 위한 플랜 2는 Linux 컴퓨터와 Windows 2019 및 2022 서버에 대해서만 통합 솔루션을 사용하도록 설정했습니다. Windows 서버 2012R2 및 2016은 Log Analytics 에이전트에 종속된 MDE 레거시 솔루션을 사용했습니다.

이제 Azure 구독 및 다중 클라우드 커넥터 모두에 대해 두 계획의 모든 컴퓨터에서 새로운 통합 솔루션을 사용할 수 있습니다. 2022년 6월 20일 이후 MDE 통합을 사용하도록 설정한 서버 플랜 2가 포함된 Azure 구독의 경우 통합 솔루션은 기본적으로 MDE 통합으로 사용하도록 설정된 서버용 Defender 계획 2가 포함된 모든 컴퓨터 Azure 구독에 대해 사용하도록 설정됩니다. 2022년 6월 20일 이전의 경우 통합 페이지의 전용 단추를 통해 Windows 서버 2012R2 및 2016용 통합 솔루션 설치를 사용하도록 설정할 수 있습니다.

클라우드용 Microsoft Defender와 Microsoft의 EDR 솔루션인 엔드포인트용 Microsoft Defender 간의 통합이 사용하도록 설정되었습니다.

서버용 Defender와 MDE 통합에 대해 자세히 알아봅니다.

“API 앱은 HTTPS를 통해서만 액세스할 수 있어야 함” 정책의 사용 중단

정책 API App should only be accessible over HTTPS는 더 이상 사용되지 않습니다. 이 정책은 App Service apps should only be accessible over HTTPS로 이름이 변경된 Web Application should only be accessible over HTTPS 정책으로 대체되었습니다.

Azure App Service에 대한 정책 정의의 자세한 내용은 Azure App Service에 대한 Azure Policy 기본 제공 정의를 참조하세요.

새로운 Key Vault 경고

Key Vault용 Microsoft Defender에서 제공하는 위협 방지 기능을 확장하기 위해 두 가지 새로운 경고를 추가했습니다.

이러한 경고는 액세스 거부된 변칙을 알리고 모든 키 자격 증명 모음에 대해 검색됩니다.

경고(경고 유형) Description MITRE 전술 심각도
비정상적 액세스 거부됨 - 사용자가 대량의 키 자격 증명 모음에 액세스하는 것을 거부했습니다.
(KV_DeniedAccountVolumeAnomaly)		 사용자 또는 서비스 주체가 지난 24시간 동안 비정상적으로 많은 양의 키 자격 증명 모음에 대한 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 작업일 수 있습니다. 이 시도는 성공하지 못했지만 키 자격 증명 모음과 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도로 이어질 수 있습니다. 추가 조사를 권장합니다. 검색 낮음
비정상적 액세스 거부됨 - 비정상적인 사용자 액세스 키 자격 증명 모음 거부됨
(KV_UserAccessDeniedAnomaly)		 일반적으로 액세스하지 않는 사용자가 키 자격 증명 모음 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 작업일 수 있습니다. 이 시도는 성공하지 못했지만 키 자격 증명 모음과 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도로 이어질 수 있습니다. 초기 액세스, 검색 낮음

2022년 5월

5월의 업데이트는 다음과 같습니다.

이제 커넥터 수준에서 서버 계획의 다중 클라우드 설정을 사용할 수 있음

이제 다중 클라우드의 서버용 Defender에 대한 커넥터 수준 설정이 있습니다.

새 커넥터 수준 설정은 구독과 독립적으로 커넥터당 가격 및 자동 프로비저닝 구성에 대한 세분성을 제공합니다.

커넥터 수준(Azure Arc, MDE 및 취약성 평가)에서 사용할 수 있는 모든 자동 프로비저닝 구성 요소는 기본적으로 사용하도록 설정되며, 새 구성은 플랜 1 및 플랜 2 가격 책정 계층을 모두 지원합니다.

UI의 업데이트에는 선택한 가격 책정 계층과 구성된 필수 구성 요소의 반영이 포함됩니다.

서버 계획 다중 클라우드 설정이 있는 기본 계획 페이지의 스크린샷.

다중 클라우드 커넥터가 사용하도록 설정된 자동 프로비저닝 페이지의 스크린샷

취약성 평가 변경

이제 컨테이너용 Defender는 패치할 수 없는 중간 수준 및 낮은 수준의 심각도가 있는 취약성을 표시합니다.

이 업데이트의 일부로 패치를 사용할 수 있는지 여부에 관계없이 심각도가 중간 및 낮은 수준의 취약성이 표시됩니다. 이 업데이트는 가시성을 최대화하지만 제공된 비활성화 규칙을 사용하여 원치 않는 취약성을 필터링할 수 있습니다.

사용 중지 규칙 화면의 스크린샷.

취약성 관리에 대해 자세히 알아보기

이제 AWS EC2 인스턴스에서 VM에 대한 JIT(Just-In-Time) 액세스를 사용할 수 있음(미리 보기)

AWS 계정을 연결할 때 JIT가 인스턴스의 보안 그룹의 네트워크 구성을 자동으로 평가하고 노출된 관리 포트에 대한 보호가 필요한 인스턴스를 권장합니다. 이는 JIT가 Azure에서 작동하는 방식과 비슷합니다. 보호되지 않는 EC2 인스턴스를 온보딩하면 JIT는 관리 포트에 대한 공용 액세스를 차단하고 제한된 시간 프레임에 대한 권한 있는 요청으로만 엽니다.

JIT가 AWS EC2 인스턴스를 보호하는 방법 알아보기

CLI를 사용하여 AKS 클러스터용 Defender 프로필 추가 및 제거

컨테이너용 Defender에서 런타임 보호를 제공하고 노드에서 신호를 수집하려면 Defender 프로필(미리 보기)이 필요합니다. 이제 Azure CLI를 사용하여 AKS 클러스터에 대한 Defender 프로필을 추가하고 제거할 수 있습니다.

참고

이 옵션은 Azure CLI 3.7 이상에 포함되어 있습니다.

2022년 4월

4월의 업데이트는 다음과 같습니다.

새 서버용 Defender 플랜

이제 서버용 Microsoft Defender가 두 가지 증분 플랜으로 제공됩니다.

  • 서버용 Defender 플랜 2(이전의 서버용 Defender)
  • 서버용 Defender 플랜 1은 엔드포인트용 Microsoft Defender만 지원합니다.

서버용 Microsoft Defender 플랜 2는 클라우드 및 온-프레미스 워크로드에 대한 위협과 취약성으로부터 계속 보호해 주지만, 서버용 Microsoft Defender 플랜 1은 기본적으로 통합된 엔드포인트용 Defender에서 제공한 엔드포인트만 보호해 줍니다. 서버용 Defender 플랜에 대해 자세히 알아봅니다.

지금까지 서버용 Defender를 사용해 왔다면 아무 작업도 필요하지 않습니다.

클라우드용 Defender는 Windows Server 2012 R2 및 2016의 엔드포인트용 Defender 통합 에이전트에 대한 점진적인 지원도 시작합니다. 서버용 Defender 플랜 1은 Windows Server 2012 R2 및 2016 워크로드에 새로운 통합 에이전트를 배포합니다. 서버용 Defender 플랜 2는 레거시 에이전트를 Windows Server 2012 R2 및 2016 워크로드에 배포하며 곧 통합 에이전트 배포를 시작할 것입니다.

사용자 지정 권장 사항 재배치

사용자 지정 권장 사항은 사용자가 만든 권장 사항으로, 보안 점수에 영향을 주지 않습니다. 이제 모든 권장 사항 탭에서 사용자 지정 권장 사항을 확인할 수 있습니다.

새 ‘권장 사항 유형’ 필터를 이용해 사용자 지정 권장 사항을 찾습니다.

사용자 지정 보안 이니셔티브 및 정책 만들기에서 자세히 알아봅니다.

Splunk 및 IBM QRadar로 경고를 스트리밍하는 PowerShell 스크립트

Event Hubs 및 기본 제공 커넥터를 사용하여 Splunk 및 IBM QRadar로 보안 경고를 내보내는 것이 좋습니다. 이제 PowerShell 스크립트를 사용하여 구독 또는 테넌트에 대한 보안 경고를 내보내는 데 필요한 Azure 리소스를 설정할 수 있습니다.

PowerShell 스크립트를 다운로드하여 실행하기만 하면 합니다. 몇 가지 환경 세부 정보를 제공하면 스크립트에서 리소스를 구성합니다. 그러면 스크립트가 SIEM 플랫폼에서 통합을 완료하는 데 사용하는 출력을 생성합니다.

자세히 알아보려면 Splunk 및 QRadar에 경고 스트림을 참조하세요.

Azure Cache for Redis 권장 사항이 사용되지 않음

Azure Cache for Redis should reside within a virtual network(미리 보기) 권장 사항이 더 이상 사용되지 않습니다. Microsoft는 Azure Cache for Redis 인스턴스를 보호하기 위한 참고 자료를 변경했습니다. 프라이빗 엔드포인트를 사용해 가상 네트워크 대신 Azure Cache for Redis 인스턴스에 대한 액세스를 제한하는 것이 좋습니다.

중요한 데이터의 노출을 검색하기 위한 스토리지용 Microsoft Defender(미리 보기)의 새로운 경고 변형

스토리지용 Microsoft Defender의 경고는 성공 여부를 불문하고 위협 행위자가 중요한 정보를 유출하기 위해 공개적으로 잘못 구성된 개방형 스토리지 컨테이너를 검사 및 노출하려고 시도하는 경우 사용자에게 알려 줍니다.

잠재적으로 중요한 데이터가 유출될 수 있는 경우 심사/응답 시간을 단축하기 위해 기존 Publicly accessible storage containers have been exposed 경고에 대한 새로운 변형을 릴리스했습니다.

새 경고(Publicly accessible storage containers with potentially sensitive data have been exposed)는 통계상 거의 공개적으로 노출되지 않은 것으로 밝혀진 이름이 포함된 공개적 개방형 스토리지 컨테이너를 발견하게 되면 High 심각도 수준으로 트리거됩니다. 이는 여기에 중요한 정보가 있을 수 있음을 암시합니다.

경고(경고 유형) 설명 MITRE 전술 심각도
미리 보기 - 잠재적으로 중요한 데이터가 포함된, 공개적으로 액세스할 수 있는 스토리지 컨테이너가 노출됨
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)		 누군가 Azure Storage 계정과 공개 액세스를 허용하는 노출된 컨테이너를 검사했습니다. 하나 이상의 노출된 컨테이너에 중요한 데이터가 포함될 수 있음을 나타내는 이름이 있습니다.

이는 일반적으로 중요한 데이터를 포함할 수 있는, 공개적으로 잘못 구성된 액세스 가능한 스토리지 컨테이너를 검색하는 위협 행위자의 정찰을 나타냅니다.

위협 행위자가 컨테이너를 성공적으로 검색하면 계속해서 데이터를 유출할 수 있습니다.
✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2		 컬렉션 높음

IP 주소 평판으로 보강된 컨테이너 검사 경고 제목

IP 주소의 평판은 검사 활동이 알려진 위협 행위자에게서 비롯된 것인지, 아니면 Tor 네트워크를 사용해 ID를 숨기는 행위자에게서 비롯된 것인지를 나타낼 수 있습니다. 이 두 지표는 모두 악의적인 의도가 있음을 시사합니다. IP 주소의 평판은 Microsoft 위협 인텔리전스에서 제공합니다.

경고 제목에 IP 주소의 평판을 추가하면 행위자의 의도와 위협의 심각도를 신속하게 평가할 수 있습니다.

다음 경고에 포함된 정보는 아래와 같습니다.

  • Publicly accessible storage containers have been exposed

  • Publicly accessible storage containers with potentially sensitive data have been exposed

  • Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

예를 들어 Publicly accessible storage containers have been exposed 경고의 제목에 추가된 정보는 다음과 같습니다.

  • Publicly accessible storage containers have been exposedby a suspicious IP address

  • Publicly accessible storage containers have been exposedby a Tor exit node

스토리지용 Microsoft Defender에 대한 모든 경고는 경고의 관련 엔터티 섹션 아래에 있는 IP 엔터티에 위협 인텔리전스 정보를 계속 포함합니다.

보안 경고와 관련된 활동 로그 보기

보안 경고를 평가하기 위해 수행할 수 있는 작업의 일부로 리소스 컨텍스트 검사에서 관련 플랫폼 로그를 찾아 영향을 받는 리소스에 대한 컨텍스트를 얻을 수 있습니다. 클라우드용 Microsoft Defender는 경고 발생 1일 이내의 플랫폼 로그를 식별합니다.

플랫폼 로그는 보안 위협을 평가하고 식별된 위험을 완화하기 위해 수행할 수 있는 단계를 식별하는 데 도움이 될 수 있습니다.

2022년 3월

3월의 업데이트는 다음과 같습니다.

AWS 및 GCP 환경에 대한 보안 점수의 글로벌 가용성

클라우드용 Microsoft Defender에서 제공하는 클라우드 보안 태세 관리 기능에는 현재 보안 점수 내에 AWS 및 GCP 환경에 대한 지원이 추가되었습니다.

이제 기업은 Azure, AWS, GCP 같은 다양한 환경에서 전반적인 보안 태세를 볼 수 있습니다.

보안 점수 페이지가 보안 태세 대시보드로 바뀌었습니다. 보안 태세 대시보드를 사용하면 모든 환경에 대한 전체 결합 점수를 보거나, 선택한 환경의 조합에 따라 보안 태세를 분석할 수 있습니다.

또한 권장 사항 페이지는 클라우드 환경 선택, 콘텐츠 기반 고급 필터(리소스 그룹, AWS 계정, GCP 프로젝트 등), 저해상도에서 향상된 사용자 인터페이스, 리소스 그래프에서 열린 쿼리 지원 등과 같은 새로운 기능을 제공하도록 다시 디자인되었습니다. 전반적인 보안 태세보안 권장 사항에 대해 자세히 알아볼 수 있습니다.

네트워크 트래픽 데이터 수집 에이전트를 설치하라는 권장 사항을 더 이상 사용하지 않습니다.

로드맵 및 우선 순위의 변경으로 인해 네트워크 트래픽 데이터 수집 에이전트가 필요하지 않게 되었습니다. 다음의 두 가지 권장 사항과 관련 정책은 더 이상 사용되지 않습니다.

권장 Description 심각도
Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 클라우드용 Microsoft Defender에서는 Microsoft Dependency Agent를 사용하여 Azure Virtual Machines에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협 같은 고급 네트워크 보호 기능을 사용할 수 있게 해줍니다. 중간
Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 클라우드용 Microsoft Defender에서는 Microsoft Dependency Agent를 사용하여 Azure Virtual Machines에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협 같은 고급 네트워크 보호 기능을 사용할 수 있게 해줍니다. 중간

컨테이너용 Defender는 이제 Windows 이미지의 취약성을 검사할 수 있습니다(미리 보기)

컨테이너용 Defender의 이미지 검사는 이제 Azure Container Registry에서 호스팅되는 Windows 이미지를 지원합니다. 이 기능은 미리 보기 중에는 무료이며 일반적으로 사용할 수 있게 되면 비용이 발생합니다.

컨테이너용 Microsoft Defender를 사용하여 이미지에서 취약성 검사에서 자세히 알아보세요.

스토리지용 Microsoft Defender(미리 보기)에 대한 새로운 경고

스토리지용 Microsoft Defender에서 제공하는 위협 방지 기능을 확장하기 위해 새로운 미리 보기 경고를 추가했습니다.

공격자는 애플리케이션과 도구를 사용하여 스토리지 계정을 검색하고 액세스합니다. 스토리지용 Microsoft Defender는 이러한 애플리케이션과 도구를 검색하여 사용자가 차단하고 상태를 수정할 수 있도록 합니다.

이 미리 보기 경고를 Access from a suspicious application이라고 합니다. 경고는 Azure Blob Storage 및 ADLS Gen2에만 관련됩니다.

경고(경고 유형) 설명 MITRE 전술 심각도
미리 보기 - 의심스러운 애플리케이션에서 액세스
(Storage.Blob_SuspiciousApp)		 의심스러운 애플리케이션이 인증을 사용하여 스토리지 계정의 컨테이너에 성공적으로 액세스했음을 나타냅니다.
이는 공격자가 계정에 액세스하는 데 필요한 자격 증명을 획득했으며 이를 악용하고 있음을 나타낼 수 있습니다. 이는 조직에서 수행된 침투 테스트의 표시일 수도 있습니다.
적용 대상: Azure Blob Storage, Azure Data Lake Storage Gen2		 초기 액세스 중간

경고로 인한 이메일 알림 설정 구성

경고 UI(사용자 인터페이스)에 새 섹션이 추가되어 현재 구독에서 트리거된 경고에 대한 이메일 알림을 받을 사람을 보고 편집할 수 있습니다.

이메일 알림을 구성하는 방법을 보여 주는 새 UI 스크린샷

보안 경고에 대한 이메일 알림 구성 방법에 대해 알아봅니다.

더 이상 사용되지 않는 미리 보기 경고: ARM.MCAS_ActivityFromAnonymousIPAddresses

다음 미리 보기 경고는 더 이상 사용되지 않습니다.

경고 이름 Description
미리 보기 - 위험한 IP 주소에서 활동 발생
(ARM.MCAS_ActivityFromAnonymousIPAddresses)		 익명 프록시 IP 주소로 식별된 IP 주소에서 사용자 활동이 감지되었습니다.
이 프록시는 해당 장치의 IP 주소를 숨기려는 사용자가 사용하며 악의적인 의도로 사용될 수 있습니다. 이 감지는 조직의 다른 사용자가 널리 사용하는 태그가 잘못 지정된 IP 주소와 같은 가양성을 줄이는 기계 학습 알고리즘을 이용합니다.
활성 클라우드용 Microsoft Defender 앱 라이선스가 필요합니다.

이 정보를 제공하고 이에 추가하는 새 경고가 만들어졌습니다. 또한 최신 경고(ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP)에는 Microsoft Defender for Cloud Apps(이전의 Microsoft Cloud App Security)에 대한 라이선스가 필요하지 않습니다.

Resource Manager에 대한 추가 경고를 참조하세요.

컨테이너 보안 구성의 취약성을 보안 점수에서 모범 사례로 수정하라는 권장 사항을 이동했습니다.

권장 사항 Vulnerabilities in container security configurations should be remediated가 보안 점수 섹션에서 모범 사례 섹션으로 이동되었습니다.

현재 사용자 환경은 모든 규정 준수 검사를 통과한 경우에만 점수를 제공합니다. 대부분의 고객은 필요한 모든 확인 사항을 충족하는 데 어려움을 겪습니다. Microsoft는 이 권장 사항에 맞게 개선된 환경을 제공하기 위해 노력하고 있으며, 릴리스되면 권장 사항이 보안 점수로 다시 이동됩니다.

서비스 주체를 사용하여 구독을 보호하라는 권장 사항이 더 이상 사용되지 않음

조직이 구독을 관리하는 데 관리 인증서를 사용하지 않는 추세와 클라우드 서비스(클래식) 배포 모델을 사용 중지한다는 최근 발표에 따라 다음 클라우드용 Defender 권장 사항 및 관련 정책은 더 이상 사용하지 않습니다.

권장 Description 심각도
관리 인증서 대신 서비스 주체를 사용하여 구독을 보호해야 함 관리 인증서를 사용하면 해당 인증서로 인증된 사람은 누구나 연결된 구독을 관리할 수 있습니다. 구독을 보다 안전하게 관리하려면 Resource Manager와 함께 서비스 주체를 사용하여 인증서가 손상되었을 때 영향을 받는 범위를 제한하는 것이 좋습니다. 또한 리소스 관리가 자동화됩니다.
(관련 정책: 관리 인증서 대신 서비스 주체를 사용하여 구독을 보호해야 함)		 중간

자세한 정보:

ISO 27001의 레거시 구현이 새 ISO 27001:2013 이니셔티브로 바뀜

ISO 27001의 레거시 구현은 클라우드용 Defender의 규정 준수 대시보드에서 제거되었습니다. 클라우드용 Defender에 대한 ISO 27001 준수를 추적하는 경우 모든 관련 관리 그룹 또는 구독에 대한 새로운 ISO 27001:2013 표준을 온보딩합니다.

ISO 27001의 레거시 구현을 제거하는 방법에 대한 메시지를 보여주는 Defender for Cloud의 규정 준수 대시보드.

더 이상 사용되지 않는 Iot용 Microsoft Defender 디바이스 권장 사항

IoT 디바이스 권장 사항용 Microsoft Defender는 클라우드용 Microsoft Defender에서 더 이상 표시되지 않습니다. 이러한 권장 사항은 IoT용 Microsoft Defender의 권장 사항 페이지에서 계속 사용할 수 있습니다.

다음 권장 사항은 더 이상 사용되지 않습니다.

평가 키 권장 사항
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT 디바이스 디바이스에서 포트 열기
ba975338-f956-41e7-a9f2-7614832d382d: IoT 디바이스 입력 체인 중 하나에서 허용 방화벽 규칙을 찾았습니다.
beb62be3-5e78-49bd-ac5f-099250ef3c7c: IoT 디바이스 체인 중 하나에서 허용 방화벽 정책을 찾았습니다.
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT 디바이스 출력 체인 중 하나에서 허용 방화벽 규칙을 찾았습니다.
5f65e47f-7a00-4bf3-acae-90ee441ee876: IoT 디바이스 운영 체제 기준 유효성 검사 실패
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT 디바이스 사용률이 낮은 메시지를 보내는 에이전트
2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT 디바이스 TLS 암호 제품군 업그레이드 필요
d74d2738-2485-4103-9919-69c7e63776ec: IoT 디바이스 감사 프로세스가 이벤트 전송을 중지했습니다.

더 이상 사용되지 않는 IoT용 Microsoft Defender 디바이스 경고

모든 IoT용 Microsoft Defender 디바이스 경고는 더 이상 클라우드용 Microsoft Defender에 표시되지 않습니다. 이러한 경고는 IoT용 Microsoft Defender 경고 페이지와 Microsoft Sentinel에서 계속 사용할 수 있습니다.

GA(일반 공급)용으로 릴리스된 AWS 및 GCP에 대한 태세 관리와 위협 방지

  • 클라우드용 Defender의 CSPM 기능은 AWS 및 GCP 리소스로 확장됩니다. 이 에이전트 없는 플랜은 보안 점수에 포함되는 클라우드별 보안 권장 사항에 따라 다중 클라우드 리소스를 평가합니다. 리소스는 기본 제공 표준을 사용하여 규정 준수를 평가합니다. 클라우드용 Defender의 자산 인벤토리 페이지는 Azure 리소스와 함께 AWS 리소스를 관리할 수 있는 다중 클라우드 지원 기능입니다.

  • 서버용 Microsoft Defender는 AWS 및 GCP의 컴퓨팅 인스턴스에 위협 검색 및 고급 방어 기능을 제공합니다. 서버용 Defender 플랜에는 엔드포인트용 Microsoft Defender, 취약성 평가 검사 등에 대한 통합 라이선스가 포함되어 있습니다. 가상 머신과 서버에 지원되는 모든 기능에 대해 알아보세요. 자동 온보딩 기능을 통해 사용자 환경에서 검색된 기존의 또는 새로운 컴퓨팅 인스턴스를 쉽게 연결할 수 있습니다.

클라우드용 Microsoft Defender로 AWS 환경GCP 조직을 보호하고 연결하는 방법을 알아보세요.

ACR에서 Windows 이미지에 대한 레지스트리 검사에는 국가별 클라우드에 대한 지원이 추가됨

이제 Azure Government 및 Azure 중국 21Vianet에서 Windows 이미지에 대한 레지스트리 검사가 지원됩니다. 이 추가 기능은 현재 미리 보기로 제공됩니다.

기능의 가용성에 대해 자세히 알아보세요.

2022년 2월

2월의 업데이트는 다음과 같습니다.

Arc 지원 Kubernetes 클러스터에 대한 Kubernetes 워크로드 보호

이전에 컨테이너용 Defender는 Azure Kubernetes Service에서 실행되는 Kubernetes 워크로드만 보호했습니다. 이제 Azure Arc 지원 Kubernetes 클러스터를 포함하도록 보호 범위를 확장했습니다.

AKS 및 Azure Arc 지원 Kubernetes 클러스터에 대해 Kubernetes 워크로드 보호를 설정하는 방법을 알아봅니다.

GCP용 네이티브 CSPM 및 GCP 컴퓨팅 인스턴스용 위협 방지

GCP 환경의 새로운 자동화된 온보딩을 통해 클라우드용 Microsoft Defender로 GCP 워크로드를 보호할 수 있습니다. 클라우드용 Defender는 다음 플랜으로 리소스를 보호합니다.

  • 클라우드용 Defender의 CSPM 기능은 GCP 리소스로 확장됩니다. 이 에이전트 없는 플랜은 클라우드용 Defender와 함께 제공되는 GCP별 보안 권장 사항에 따라 GCP 리소스를 평가합니다. GCP 권장 사항은 보안 점수에 포함되며 리소스는 기본 제공되는 GCP CIS 표준을 준수하는지 평가됩니다. 클라우드용 Defender의 자산 인벤토리 페이지는 Azure, AWS 및 GCP에서 리소스를 관리할 수 있도록 하는 다중 클라우드 지원 기능입니다.

  • 서버용 Microsoft Defender는 GCP 컴퓨팅 인스턴스에 위협 검색 및 고급 방어 기능을 제공합니다. 이 플랜에는 엔드포인트용 Microsoft Defender, 취약성 평가 검사 등에 대한 통합 라이선스가 포함됩니다.

    사용 가능한 기능의 전체 목록은 가상 머신 및 서버에 지원되는 기능을 참조하세요. 자동 온보딩 기능을 사용하면 환경에서 발견된 기존 및 새로운 컴퓨팅 인스턴스를 쉽게 연결할 수 있습니다.

클라우드용 Microsoft Defender를 사용하여 보호하고 GCP 프로젝트를 연결하는 방법을 알아봅니다.

Azure Cosmos DB용 Microsoft Defender 플랜이 미리 보기로 릴리스됨

클라우드용 Microsoft Defender의 데이터베이스 적용 범위를 확장했습니다. 이제 Azure Cosmos DB 데이터베이스에 대한 보호를 사용하도록 설정할 수 있습니다.

Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정의 데이터베이스를 악용하려는 모든 시도를 검색하는 Azure 네이티브 보안 계층입니다. Azure Cosmos DB용 Microsoft Defender는 잠재적인 SQL 삽입, Microsoft 위협 인텔리전스 기반의 알려진 악의적인 행위자, 의심스러운 액세스 패턴, 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스 악용 가능성을 감지합니다.

Azure Cosmos DB 서비스에서 생성된 고객 데이터 스트림을 지속적으로 분석합니다.

잠재적으로 악의적인 활동이 감지되면 보안 경고가 생성됩니다. 이러한 경고는 관련 조사 단계, 수정 작업, 보안 권장 사항에 더불어 의심스러운 활동의 세부 정보와 함께 클라우드용 Microsoft Defender에 표시됩니다.

Azure Cosmos DB용 Defender는 Azure Cosmos DB 계정 데이터에 액세스하지 않으므로 서비스를 사용하도록 설정해도 데이터베이스 성능에는 영향이 없습니다.

Azure Cosmos DB용 Microsoft Defender 개요에서 자세히 알아봅니다.

또한 데이터베이스 보안을 위한 새로운 사용 환경을 도입하고 있습니다. 이제 구독에서 클라우드용 Microsoft Defender 보호를 사용하도록 설정하여 하나의 사용 설정 프로세스를 통해 Azure Cosmos DB, Azure SQL Database, 컴퓨터의 Azure SQL Server, 오픈 소스 관계형 데이터베이스용 Microsoft Defender와 같은 모든 데이터베이스 형식을 보호할 수 있습니다. 플랜을 구성하여 특정 리소스 종류를 포함하거나 제외할 수 있습니다.

구독 수준에서 데이터베이스 보안을 사용하도록 설정하는 방법을 알아봅니다.

GKE(Google Kubernetes Engine) 클러스터에 대한 위협 방지

최근 발표된 GCP용 네이티브 CSPM 및 GCP용 위협 방지 컴퓨팅 인스턴스에 따라 컨테이너용 Microsoft Defender는 Kubernetes 위협 방지, 동작 분석 및 네이티브 제공 허용 제어 정책을 GKE(Google Kubernetes Engine) 표준 클러스터로 확장했습니다. 자동 온보딩 기능을 통해 기존 또는 새 GKE 표준 클러스터를 환경에 쉽게 온보딩할 수 있습니다. 사용 가능한 전체 기능 목록은 클라우드용 Microsoft Defender를 사용한 컨테이너 보안을 확인하세요.