보안 제어 V2: 로깅 및 위협 탐지

참고

최신 Azure 보안 벤치마크는 여기에서 제공됩니다.

로깅 및 위협 탐지는 Azure에서 위협을 탐지하고 Azure 서비스에 대한 감사 로그를 사용하도록 설정, 수집 및 저장하기 위한 제어를 다룹니다. 여기에는 Azure 서비스의 기본 위협 탐지를 통해 고품질 경고를 생성하는 제어를 통해 탐지, 조사 및 치료 프로세스를 사용하도록 설정하는 것이 포함됩니다. 또한 Azure Monitor로 로그 수집, Azure Sentinel로 보안 분석 중앙 집중화, 시간 동기화 및 로그 보존을 포함합니다.

적용 가능한 기본 제공 Azure Policy를 보려면 Azure Security Benchmark 규정 준수 기본 제공 이니셔티브의 세부 정보: 로깅 및 위협 탐지를 참조하세요.

LT-1: Azure 리소스에 위협 탐지 사용

Azure ID	CIS Controls v7.1 ID	NIST SP 800-53 r4 ID
LT-1	6.7	AU-3, AU-6, AU-12, SI-4

다양한 유형의 Azure 자산에서 잠재적인 위협과 이상 징후를 모니터링해야 확인합니다. 분석가가 면밀히 살펴볼 수 있도록 가양성을 줄여 고품질 경고를 얻는 데 중점을 둡니다. 경고는 로그 데이터, 에이전트 또는 기타 데이터로부터 제공될 수 있습니다.

Azure 서비스 원격 분석 모니터링 및 서비스 로그 분석을 기반으로 하는 Azure Defender를 사용합니다. 데이터는 시스템에서 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석용으로 작업 영역에 데이터를 복사하는 Log Analytics 에이전트를 사용하여 수집됩니다.

또한 Azure Sentinel을 사용하여 사용자 환경에서 특정 기준과 일치하는 위협을 헌팅하는 분석 규칙을 빌드합니다. 규칙은 조건이 일치할 때 인시던트를 생성하므로 각 인시던트를 조사할 수 있습니다. 또한 Azure Sentinel은 타사 위협 인텔리전스를 가져와서 위협 탐지 기능을 향상시킬 수 있습니다.

• Azure Defender

• Azure Security Center 보안 경고 참조 지침

• 위협 탐지를 위한 사용자 지정 분석 규칙 만들기

• Azure Sentinel을 사용한 사이버 위협 인텔리전스

책임: Customer

고객 보안 관련자(자세한 정보):

• 인프라 및 엔드포인트 보안

• 보안 운영

• 포스처 관리

• 애플리케이션 보안 및 DevOps

• 위협 인텔리전스

LT-2: Azure ID 및 액세스 관리에 위협 탐지 사용

Azure ID	CIS Controls v7.1 ID	NIST SP 800-53 r4 ID
LT-2	6.8	AU-3, AU-6, AU-12, SI-4

Azure AD는 Azure AD 보고에서 볼 수 있거나 더 정교한 모니터링 및 분석 사용 사례를 위해 Azure Monitor, Azure Sentinel 또는 기타 SIEM/모니터링 도구와 통합할 수 있는 다음과 같은 사용자 로그를 제공합니다.

• 로그인 – 로그인 보고서는 관리되는 애플리케이션 및 사용자 로그인 활동의 사용 정보를 제공합니다.

• 감사 로그 - Azure AD 내의 다양한 기능에 의해 수행된 모든 변경 내용에 대한 로그를 통한 추적 기능을 제공합니다. 감사 로그의 예제로는 사용자, 앱, 그룹, 역할 및 정책 추가 또는 제거와 같은 Azure AD 내의 모든 리소스에 대한 변경 내용이 있습니다.

• 위험한 로그인 - 위험한 로그인은 사용자 계정의 정당한 소유자가 아닌 사용자에 의해 수행된 로그인 시도에 대한 지표입니다.

• 위험 플래그가 지정된 사용자 - 위험한 사용자는 손상되었을 수 있는 사용자 계정에 대한 표시기입니다.

또한 Azure Security Center가 인증 시도 실패 횟수 제한을 초과한 경우나 구독에서 사용되지 않는 계정과 같은 의심스러운 특정 활동에 대해 경고할 수 있습니다. 기본 보안 위생 모니터링 외에도 Azure Defender는 개별 Azure 컴퓨팅 리소스(예: 가상 머신, 컨테이너, App Service), 데이터 리소스(예: SQL DB 및 스토리지) 및 Azure 서비스 계층에서 보다 심층적인 보안 경고를 수집할 수도 있습니다. 해당 기능을 사용하면 개별 리소스 내에서 비정상 계정 활동을 볼 수 있습니다.

• Azure AD에서 활동 보고서 감사

• Azure ID 보호 사용

• Azure Defender

책임: Customer

고객 보안 관련자(자세한 정보):

• 인프라 및 엔드포인트 보안

• 보안 운영

• 포스처 관리

• 애플리케이션 보안 및 DevOps

• 위협 인텔리전스

LT-3: Azure 네트워크 활동에 대한 로깅 사용

Azure ID	CIS Controls v7.1 ID	NIST SP 800-53 r4 ID
LT-3	9.3, 12.2, 12.5, 12.8	AU-3, AU-6, AU-12, SI-4

인시던트 조사, 위협 헌팅 및 보안 경고 생성을 지원하기 위해 보안 분석을 위해 NSG(네트워크 보안 그룹) 리소스 로그, NSG 흐름 로그, Azure Firewall 로그 및 WAF(웹 애플리케이션 방화벽) 로그를 사용하도록 설정하고 수집합니다. 흐름 로그를 Azure Monitor Log Analytics 작업 영역으로 보낸 다음, 트래픽 분석을 사용하여 인사이트를 제공할 수 있습니다.

다른 네트워크 데이터의 상관 관계를 지원하기 위해 DNS 쿼리 로그를 수집하고 있는지 확인합니다.

• 네트워크 보안 그룹 흐름 로그를 사용하도록 설정하는 방법

• Azure Firewall 로그 및 메트릭

• 트래픽 분석을 설정하고 사용하는 방법

• Network Watcher로 모니터링

• Azure Monitor의 Azure 네트워킹 모니터링 솔루션

• DNS 분석 솔루션으로 DNS 인프라에 대한 인사이트 수집

책임: Customer

고객 보안 관련자(자세한 정보):

• 인프라 및 엔드포인트 보안

• 보안 운영

• 포스처 관리

• 애플리케이션 보안 및 DevOps

• 위협 인텔리전스

LT-4: Azure 리소스에 대한 로깅 사용

Azure ID	CIS Controls v7.1 ID	NIST SP 800-53 r4 ID
LT-4	6.2, 6.3, 8.8	AU-3, AU-12

규정 준수, 위협 탐지, 헌팅 및 인시던트 조사에 대한 요구 사항을 충족하려면 Azure 리소스에 대한 로깅을 사용하도록 설정합니다.

Azure Security Center 및 Azure Policy를 사용하여 감사, 보안 및 리소스 로그에 액세스하기 위해 Azure 리소스에서 리소스 로그 및 로그 데이터 수집을 사용하도록 설정할 수 있습니다. 자동으로 사용할 수 있는 활동 로그에는 이벤트 원본, 날짜, 사용자, 타임스탬프, 원본 주소, 대상 주소 및 기타 유용한 요소가 포함됩니다.

• Azure의 로깅 및 기타 로그 형식 이해

• Azure Security Center 데이터 수집 이해

책임: 공유됨

고객 보안 관련자(자세한 정보):

• 보안 운영

인프라 및 엔드포인트 보안

• 애플리케이션 보안 및 DevOps

• 위협 인텔리전스

LT-5: 보안 로그 관리 및 분석 중앙 집중화

Azure ID	CIS Controls v7.1 ID	NIST SP 800-53 r4 ID
LT-5	6.5, 6.6	AU-3, SI-4

상관 관계를 사용하도록 설정하기 위해 로깅 스토리지 및 분석을 중앙 집중화합니다. 각 로그 원본에 대해 데이터 소유자, 액세스 지침, 스토리지 위치, 데이터를 처리하고 액세스하는 데 사용되는 도구, 데이터 보존 요구 사항을 할당했는지 확인합니다.

Azure 활동 로그를 중앙 로깅에 통합하고 있는지 확인합니다. Azure Monitor를 통해 로그를 수집하여 엔드포인트 디바이스, 네트워크 리소스, 기타 보안 시스템에 의해 생성된 보안 데이터를 집계합니다. Azure Monitor에서 Log Analytics 작업 영역을 사용하여 분석을 쿼리하고 수행하며, 장기 및 기록 스토리지에 Azure Storage 계정을 사용할 수 있습니다.

또한 데이터를 Azure Sentinel 또는 타사 SIEM에서 사용하도록 설정하고 온보딩할 수 있습니다.

많은 조직에서 자주 사용되는 "핫" 데이터에 대해 Azure Sentinel을 사용하고 덜 자주 사용되는 "콜드" 데이터에 대해서는 Azure Storage를 사용하도록 선택합니다.

• Azure Monitor를 사용한 플랫폼 로그 및 메트릭 수집 방법

• Azure Sentinel을 온보딩하는 방법

책임: Customer

고객 보안 관련자(자세한 정보):

• 보안 아키텍처

• 애플리케이션 보안 및 DevOps

• 인프라 및 엔드포인트 보안

LT-6: 로그 스토리지 보존 구성

Azure ID	CIS Controls v7.1 ID	NIST SP 800-53 r4 ID
LT-6	6.4	AU-3, AU-11

규정 준수, 규정 및 비즈니스 요구 사항에 따라 로그 보존을 구성합니다.

Azure Monitor에서 조직의 준수 규정에 따라 Log Analytics 작업 영역의 보존 기간을 설정할 수 있습니다. 장기 및 보관 스토리지에 대한 Azure Storage, Data Lake 또는 Log Analytics 작업 영역 계정을 사용합니다.

• Log Analytics에서 데이터 보존 기간 변경

• Azure Storage 계정 로그에 대한 보존 정책을 구성하는 방법

• Azure Security Center 경고 및 권장 사항 내보내기

책임: Customer

고객 보안 관련자(자세한 정보):

• 보안 아키텍처

• 애플리케이션 보안 및 DevOps

• 보안 운영

• 파트너 규정 준수 관리

LT-7: 승인된 시간 동기화 원본 사용

Azure ID	CIS Controls v7.1 ID	NIST SP 800-53 r4 ID
LT-7	6.1	AU-8

Microsoft는 대부분의 Azure PaaS 및 SaaS 서비스에 대한 시간 원본을 유지 관리합니다. 가상 머신의 경우 특정 요구 사항이 없는 한 시간 동기화를 위해 Microsoft 기본 NTP 서버를 사용합니다. 자체 NTP(네트워크 시간 프로토콜) 서버를 설정해야 하는 경우 UDP 서비스 포트 123을 보호해야 합니다.

Azure 내의 리소스에서 생성된 모든 로그는 기본적으로 지정된 표준 시간대의 타임스탬프를 제공합니다.

• Azure Windows 컴퓨팅 리소스에 대한 시간 동기화를 구성하는 방법

• Azure Linux 컴퓨팅 리소스에 대한 시간 동기화를 구성하는 방법

• Azure 서비스용 인바운드 UDP를 사용하지 않도록 설정하는 방법

책임: 공유됨

고객 보안 관련자(자세한 정보):

• 정책 및 표준

• 애플리케이션 보안 및 DevOps

• 인프라 및 엔드포인트 보안