보안 경고 및 인시던트

  • 아티클

이 문서에서는 클라우드용 Microsoft Defender의 보안 경고 및 알림에 대해 설명합니다.

보안 경고란?

보안 경고는 Azure, 하이브리드 또는 다중 클라우드 환경에서 위협이 식별될 때 클라우드용 Defender의 워크로드 보호 계획에서 생성되는 알림입니다.

  • 보안 경고는 특정 리소스 종류에 대해 Defender 플랜을 사용하도록 설정할 때 사용할 수 있는 고급 탐지에 의해 트리거됩니다.
  • 각 경고는 영향을 받는 리소스, 문제 및 수정 단계에 대한 세부 정보를 제공합니다.
  • 클라우드용 Defender는 경고를 분류하고 심각도에 따라 우선 순위를 지정합니다.
  • 경고와 관련된 리소스가 해당 시간 동안 삭제된 경우에도 경고는 90일 동안 포털에 표시됩니다. 경고가 추가 조사해야 하는 조직의 잠재적 위반을 나타낼 수 있기 때문입니다.
  • 경고를 CSV 형식으로 내보낼 수 있습니다.
  • 또한 경고는 Microsoft Sentinel, SOAR(보안 오케스트레이션 자동화 응답) 또는 ITSM(IT 서비스 관리) 솔루션과 같은 SIEM(보안 정보 및 이벤트 관리)으로 직접 스트리밍할 수도 있습니다.
  • 클라우드용 Defender는 MITRE Attack Matrix를 활용하여 경고를 인식된 의도와 연결하며 보안 도메인 지식을 공식화하도록 지원합니다.

경고는 어떻게 분류되나요?

경고에는 심각도 수준이 할당되어 각 경고에 참석하는 방법에 우선 순위를 지정할 수 있습니다. 심각도는 다음을 기반으로 합니다.

  • 특정 트리거
  • 경고를 유발한 작업 뒤에 악의적인 의도가 있다는 신뢰도 수준
심각도 권장되는 응답
높음 리소스가 손상될 가능성이 높습니다. 지금 즉시 리소스를 살펴보아야 합니다. 클라우드용 Defender는 악의적인 의도와 경고 발급을 위해 사용된 결과를 높이 신뢰합니다. 자격 증명 훔치기에 많이 사용되는 Mimikatz처럼 알려진 악의적 도구 실행을 검색하는 경고를 예로 들 수 있습니다.
중간 리소스의 손상 가능성을 나타내는 의심스러운 작업입니다. 클라우드용 Defender의 분석 또는 결과를 기반으로 한 신뢰도는 보통이며 악의적 의도가 있을 가능성은 보통부터 높음 사이입니다. 일반적으로 기계 학습 또는 변칙 기반 검색(예: 비정상적인 위치에서의 로그인 시도)입니다.
낮음 무해한 양성 또는 차단된 공격일 수 있습니다. 클라우드용 Defender는 의도가 악의적이라고 확신하지 못하며 작업은 무해한 활동일 수 있습니다. 예를 들어, 로그 지우기는 공격자가 자신의 트랙을 숨기려는 경우 발생할 수 있는 동작이지만 대부분은 관리자가 수행하는 루틴 작업입니다. 클라우드용 Defender는 일반적으로 공격을 차단하더라도 살펴볼 가치가 있는 흥미로운 사례가 아닌 경우에는 사용자에게 알리지 않습니다.
정보 제공 인시던트는 일반적으로 여러 경고로 구성되며 그중 일부는 정보 제공만을 위해 표시될 수 있지만 다른 경고의 컨텍스트에서는 자세히 살펴볼 필요가 있습니다.

보안 인시던트란 무엇인가요?

보안 인시던트는 관련 경고 컬렉션입니다.

인시던트는 공격 및 관련 경고에 대한 단일 보기를 제공하므로 공격자가 수행한 작업과 영향을 받은 리소스를 빠르게 이해할 수 있습니다.

위협 범위가 확대됨에 따라 최소한의 손상도 검색해야 할 필요성이 커집니다. 보안 분석가가 다양한 경고를 심사하고 실제 공격을 식별하는 것은 어려운 일입니다. 클라우드용 Defender는 경고와 저충실도 신호를 보안 인시던트와 연관시켜 분석가가 이러한 경고 피로에 대처할 수 있도록 도와줍니다.

클라우드에서는 다양한 테넌트에서 공격이 발생할 수 있으며, 클라우드용 Defender는 AI 알고리즘을 결합하여 각 Azure 구독에서 보고되는 공격 시퀀스를 분석할 수 있습니다. 이 기술에서는 공격 시퀀스를 우연히 서로 연관시키는 것이 아니라 일반적인 경고 패턴으로 식별합니다.

인시던트 조사 중 분석가는 위협의 원인 및 완화하는 방법에 대한 결과에 도달하기 위해 종종 추가 컨텍스트가 필요합니다. 예를 들어 네트워크 변칙이 검색된 경우에도 네트워크에서 또는 대상 리소스와 관련하여 발생하는 다른 작업에 관한 이해가 없으면 다음으로 수행할 작업을 이해하기가 어렵습니다. 도움을 주기 위해 보안 인시던트에는 아티팩트, 관련 이벤트 및 정보가 포함될 수 있습니다. 보안 인시던트에 사용할 수 있는 추가 정보는 탐지된 위협 형식과 환경 구성에 따라 다릅니다.

경고를 인시던트에 연결

클라우드용 Defender는 경고 및 상황별 신호와 인시던트와의 상관 관계를 지정합니다.

  • 상관 관계는 리소스 전반의 다양한 신호를 살펴보고 보안 지식과 AI를 결합하여 경고를 분석하여 새로운 공격 패턴을 발견합니다.
  • 또한 공격의 각 단계를 위해 수집된 정보를 사용하여 클라우드용 Defender는 공격 단계로 보이지만 실제로는 그렇지 않은 작업을 배제할 수 있습니다.

인시던트 참조에서 인시던트 상관 관계에 의해 생성될 수 있는 보안 인시던트 목록을 검토합니다.

클라우드용 Defender는 위협을 어떻게 탐지하나요?

실제 위협을 검색하고 가양성을 줄이기 위해 클라우드용 Defender는 리소스를 모니터링하고 위협에 대한 데이터를 수집 및 분석하며 종종 여러 원본의 데이터를 상호 연결합니다.

Defender for Cloud Data collection and presentation.

Microsoft 이니셔티브

클라우드용 Microsoft Defender는 위협 환경의 변화를 지속적으로 모니터링하는 Microsoft 전체에 보안 연구 및 데이터 과학 팀을 두는 이점을 누릴 수 있습니다. 다음 이니셔티브가 포함됩니다.

  • Microsoft 보안 전문가: 법정 분석 및 웹 공격 탐지와 같은 전문 보안 분야에서 Microsoft 팀과 지속적인 관계를 유지하며 활동합니다.

  • Microsoft 보안 연구: 당사 연구원은 지속적으로 위협을 지켜보고 있습니다. 클라우드 및 온-프레미스를 망라하는 Microsoft의 글로벌 입지로 포괄적인 원격 분석 세트에 액세스할 수 있습니다. 광범위하고 다양한 데이터 세트의 컬렉션을 통해 온라인 서비스뿐 아니라 해당 온-프레미스 소비자 및 엔터프라이즈 제품에서도 새로운 공격 패턴 및 추세를 검색할 수 있습니다. 결과적으로 클라우드용 Defender는 공격자가 새 익스플로잇 및 점점 더 정교해지는 익스플로잇을 릴리스하므로 검색 알고리즘을 신속하게 업데이트할 수 있습니다. 이 방법을 통해 빠르게 움직이는 위협 환경을 지속적으로 관리할 수 있습니다.

  • 위협 인텔리전스 모니터링: 위협 인텔리전스에는 기존 또는 새로운 위협에 대한 메커니즘, 표시기, 영향 및 조치 가능한 조언이 포함됩니다. 이 정보는 보안 커뮤니티에서 공유되고 Microsoft는 내부 및 외부 소스에서 위협 인텔리전스 피드를 지속적으로 모니터링합니다.

  • 신호 공유: Microsoft의 클라우드 및 온-프레미스 서비스, 서버 및 클라이언트 엔드포인트 디바이스의 광범위한 포트폴리오에 대한 보안 팀의 인사이트를 공유하고 분석합니다.

  • 감지 튜닝: 알고리즘은 실제 고객 데이터 집합에 대해 실행되며 보안 연구원은 고객과 협력하여 결과의 유효성을 검사합니다. 기계 학습 알고리즘을 구체화하기 위해 참 및 거짓 긍정이 사용됩니다.

이러한 결합된 노력은 즉시 활용할 수 있는 새롭고 향상된 감지에 누적됩니다. 수행해야 할 작업이 없습니다.

보안 분석

클라우드용 Defender는 서명 기반 방법을 훨씬 넘어서는 고급 보안 분석을 사용합니다. 수동 접근 방법을 사용하고 공격의 발전을 예측하여 식별할 수 없는 위협을 감지하도록 전체 클라우드 패브릭에 대한 이벤트를 평가하는 데 빅 데이터 및 기계 학습 기술의 돌파구를 활용합니다. 이러한 보안 분석은 다음과 같습니다.

통합된 위협 인텔리전스

Microsoft는 방대한 글로벌 위협 인텔리전스가 있습니다. 원격 분석 결과는 Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft DCU(Digital Crimes Unit), MSRC(Microsoft 보안 대응 센터) 등의 여러 소스에서 얻습니다. 연구소에서는 주요 클라우드 서비스 공급자 간에 공유하는 인텔리전스 정보와 타사의 피드도 받습니다. 클라우드용 Microsoft Defender는 이 정보를 사용하여 알려진 악의적 행위자의 위협에 대해 경고할 수 있습니다.

동작 분석

동작 분석은 알려진 패턴의 컬렉션에 대해 데이터를 분석하고 비교하는 기술입니다. 그러나 이러한 패턴은 단순한 서명이 아닙니다. 대량 데이터 세트에 적용되는 복잡한 기계 학습 알고리즘을 통해 결정됩니다. 또한 전문 분석가가 악의적인 행동을 신중하게 분석하여 결정합니다. 클라우드용 Microsoft Defender는 동작 분석을 사용하여 가상 머신 로그, 가상 네트워크 디바이스 로그, 패브릭 로그, 기타 원본의 분석을 기준으로 손상된 리소스를 식별할 수 있습니다.

이상 감지

클라우드용 Defender는 또한 변칙 검색을 사용하여 위협을 식별합니다. 큰 데이터 세트에서 파생된 알려진 패턴에 따라 결정하는 행위 분석과 달리 변칙 검색은 더욱 "맞춤형"으로 되고 배포에만 적용되는 기준에 중점을 둡니다. 배포에 대한 정상적인 작동을 확인하기 위해 기계 학습이 적용되고 보안 이벤트를 표시할 수 있는 이상값 조건을 정의하는 규칙이 생성됩니다.

경고 내보내기

다음을 포함하여 클라우드용 Defender 외부에서 경고를 볼 수 있는 다양한 옵션이 있습니다.

  • 경고 대시보드에서 CSV 보고서 다운로드는 CSV로 일회성 내보내기를 제공합니다.
  • 환경 설정에서 연속 내보내기를 사용하면 Log Analytics 작업 영역 및 Event Hubs에 대한 보안 경고 및 권장 사항 스트림을 구성할 수 있습니다. 자세히 알아보기.
  • Microsoft Sentinel 커넥터는 클라우드용 Microsoft Defender에서 Microsoft Sentinel로 보안 경고를 스트림합니다. 자세히 알아보기.

SIEM, SOAR 또는 IT 서비스 관리 솔루션에 대한 경고 스트리밍지속적으로 데이터를 내보내는 방법에 대해 알아봅니다.

다음 단계

이 문서에서는 클라우드용 Defender에서 사용할 수 있는 다양한 보안 경고 유형에 대해 알아보았습니다. 자세한 내용은 다음을 참조하세요.