Microsoft 365 Defender 평가 및 파일럿
적용 대상:
- Microsoft 365 Defender
이 문서 시리즈의 작동 방식
이 문서 시리즈는 평가판 XDR 환경, 엔드 투 엔드 를 설정하는 전체 프로세스를 단계별로 안내하여 Microsoft 365 Defender 기능과 기능을 평가하고 준비가 되면 프로덕션 환경으로 바로 승격할 수 있도록 설계되었습니다.
XDR에 대해 새로운 생각을 하는 경우 이러한 7개의 연결된 문서를 검색하여 솔루션이 얼마나 포괄적인지 파악할 수 있습니다.
- 환경을 만드는 방법
- 이 Microsoft XDR의 각 기술 설정 또는 알아보기
- 이 XDR을 사용하여 조사하고 대응하는 방법
- 평가판 환경을 프로덕션 환경으로 승격
Microsoft 365 Defender Microsoft XDR 사이버 보안 솔루션입니다.
Microsoft 365 Defender 엔드포인트, 이메일, 애플리케이션 및 ID 를 포함하여 Microsoft 365 환경에서 신호, 위협 및 경고 데이터를 자동으로 수집, 상관 관계 및 분석하는 eXtended 검색 및 응답(XDR) 솔루션 입니다. AI(인공 지능) 및 자동화를 활용하여 자동으로 공격을 중지하고 영향을 받는 자산을 안전한 상태로 수정합니다.
엔드포인트(엔드포인트 검색 및 응답 또는 EDR), 전자 메일, 앱 및 ID 보안을 한 곳에서 통합하는 보안의 다음 단계로 XDR을 생각해 보세요.
Microsoft 365 Defender 평가하기 위한 Microsoft 권장 사항
Microsoft는 Office 365 기존 프로덕션 구독에서 평가를 만드는 것이 좋습니다. 이렇게 하면 실제 인사이트를 즉시 얻을 수 있으며 사용자 환경의 현재 위협에 대해 작동하도록 설정을 조정할 수 있습니다. 경험을 쌓고 플랫폼에 익숙해지면 각 구성 요소를 한 번에 하나씩 프로덕션으로 승격하기만 하면 됩니다.
사이버 보안 공격의 해부
Microsoft 365 Defender 클라우드 기반의 통합된 사전 및 위반 후 엔터프라이즈 방어 제품군입니다. 엔드포인트, ID, 앱, 이메일, 공동 작업 애플리케이션 및 모든 데이터에서 방지, 검색, 조사 및 응답을 조정합니다.
이 그림에서는 공격이 진행 중입니다. 피싱 전자 메일은 조직 내 직원의 받은 편지함에 도착합니다. 이 받은 편지함은 모르게 전자 메일 첨부 파일을 엽니다. 이렇게 하면 맬웨어가 설치되어 중요한 데이터의 도난으로 끝날 수 있는 일련의 이벤트가 발생합니다. 그러나 이 경우 Office 365용 Defender 작동합니다.
이 그림의 내용
- Office 365용 Microsoft Defender 일부인 Exchange Online Protection 피싱 이메일을 검색하고 메일 흐름 규칙을 사용하여 받은 편지함에 도착하지 않도록 할 수 있습니다.
- Office 365용 Defender 안전한 첨부 파일은 첨부 파일을 테스트하고 유해하다고 판단하므로 도착하는 메일은 사용자가 조치를 취할 수 없거나 정책으로 인해 메일이 전혀 도착하지 못하도록 방지합니다.
- 엔드포인트용 Defender 는 회사 네트워크에 연결하고 악용될 수 있는 디바이스 및 네트워크 취약성을 검색하는 디바이스를 관리합니다.
- Defender for Identity 는 권한 상승 또는 위험 수준이 높은 횡적 이동과 같은 갑작스런 계정 변경을 기록합니다. 또한 보안 팀의 수정을 위해 제약이 없는 Kerberos 위임과 같이 쉽게 악용되는 ID 문제에 대해 보고합니다.
- Microsoft Defender for Cloud Apps 불가능한 이동, 자격 증명 액세스 및 비정상적인 다운로드, 파일 공유 또는 메일 전달 활동과 같은 비정상적인 동작을 확인하고 이를 보안 팀에 보고합니다.
Microsoft 365 Defender 구성 요소는 디바이스, ID, 데이터 및 애플리케이션을 보호합니다.
Microsoft 365 Defender 함께 작동하는 이러한 보안 기술로 구성됩니다. XDR 및 Microsoft 365 Defender 기능을 활용하기 위해 이러한 구성 요소가 모두 필요하지는 않습니다. 하나 또는 두 가지를 사용하여 이익과 효율성을 실현할 수 있습니다.
| 구성 요소 | 설명 | 참조 자료 |
|---|---|---|
| Microsoft Defender for Identity | Microsoft Defender for Identity Active Directory 신호를 사용하여 조직을 대상으로 하는 고급 위협, 손상된 ID 및 악의적인 내부자 작업을 식별, 감지 및 조사합니다. | Microsoft Defender for Identity란? |
| Exchange Online Protection | Exchange Online Protection 스팸 및 맬웨어로부터 조직을 보호하는 데 도움이 되는 네이티브 클라우드 기반 SMTP 릴레이 및 필터링 서비스입니다. | EOP(Exchange Online Protection) 개요 - Office 365 |
| Office 365용 Microsoft Defender | Office 365용 Microsoft Defender 전자 메일 메시지, 링크(URL) 및 공동 작업 도구로 인한 악의적인 위협으로부터 조직을 보호합니다. | Office 365용 Microsoft Defender - Office 365 |
| 엔드포인트용 Microsoft Defender | 엔드포인트용 Microsoft Defender 디바이스 보호, 위반 후 검색, 자동화된 조사 및 권장 대응을 위한 통합 플랫폼입니다. | 엔드포인트용 Microsoft Defender - Windows 보안 |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps 클라우드 앱에 대한 심층적인 가시성, 강력한 데이터 제어 및 향상된 위협 방지를 제공하는 포괄적인 SaaS 간 솔루션입니다. | Defender for Cloud Apps란? |
| Azure AD ID 보호 | Azure AD ID 보호는 수십억 번의 로그인 시도에서 위험 데이터를 평가하고 이 데이터를 사용하여 환경에 대한 각 로그인의 위험을 평가합니다. 이 데이터는 조건부 액세스 정책을 구성하는 방법에 따라 계정 액세스를 허용하거나 방지하기 위해 Azure AD 사용됩니다. Azure AD ID 보호는 Microsoft 365 Defender 별도로 라이선스가 부여됩니다. Azure Active Directory Premium P2 포함되어 있습니다. | ID 보호란? |
Microsoft 365 Defender 아키텍처
아래 다이어그램에서는 주요 Microsoft 365 Defender 구성 요소 및 통합에 대한 개략적인 아키텍처를 보여 줍니다. 각 Defender 구성 요소 및 사용 사례 시나리오에 대한 자세한 아키텍처는 이 일련의 문서에서 제공됩니다.
이 그림의 내용:
- Microsoft 365 Defender 모든 Defender 구성 요소의 신호를 결합하여 도메인 간에 XDR(확장 검색 및 응답)을 제공합니다. 여기에는 통합 인시던트 큐, 공격 중지에 대한 자동화된 대응, 자체 복구(손상된 디바이스, 사용자 ID 및 사서함), 위협 간 헌팅 및 위협 분석이 포함됩니다.
- Office 365용 Microsoft Defender는 전자 메일 메시지, 링크 (URL) 및 공동 작업 도구로 인한 악의적인 위협으로부터 조직을 보호합니다. 이러한 활동으로 인한 신호를 Microsoft 365 Defender 공유합니다. EOP(Exchange Online Protection)는 들어오는 전자 메일 및 첨부 파일에 대한 엔드 투 엔드 보호를 제공하기 위해 통합됩니다.
- Microsoft Defender for Identity AD FS(Active Directory Federated Services) 및 AD DS(온-프레미스 Active Directory Domain Services)를 실행하는 서버에서 신호를 수집합니다. 이러한 신호를 사용하여 손상된 계정을 사용하여 온-프레미스 환경의 워크스테이션 간에 횡적으로 이동하는 해커로부터 보호하는 것을 포함하여 하이브리드 ID 환경을 보호합니다.
- 엔드포인트용 Microsoft Defender 조직에서 사용하는 디바이스로부터 신호를 수집하고 보호합니다.
- Microsoft Defender for Cloud Apps 조직의 클라우드 앱 사용 신호를 수집하고 승인된 클라우드 앱과 허가되지 않은 클라우드 앱을 포함하여 환경과 이러한 앱 간에 흐르는 데이터를 보호합니다.
- Azure AD ID 보호는 수십억 번의 로그인 시도에서 위험 데이터를 평가하고 이 데이터를 사용하여 환경에 대한 각 로그인의 위험을 평가합니다. 이 데이터는 조건부 액세스 정책을 구성하는 방법에 따라 계정 액세스를 허용하거나 방지하기 위해 Azure AD 사용됩니다. Azure AD ID 보호는 Microsoft 365 Defender 별도로 라이선스가 부여됩니다. Azure Active Directory Premium P2 포함되어 있습니다.
Microsoft SIEM 및 SOAR는 Microsoft 365 Defender 데이터를 사용할 수 있습니다.
이 그림에 포함되지 않은 추가 선택적 아키텍처 구성 요소는 다음과 같습니다.
- 모든 Microsoft 365 Defender 구성 요소의 자세한 신호 데이터를 Microsoft Sentinel에 통합 하고 다른 로깅 원본과 결합하여 전체 SIEM 및 SOAR 기능 및 인사이트를 제공할 수 있습니다.
- Microsoft 365 Defender XDR로 사용하는 Azure SIEM인 Microsoft Sentinel 사용에 대한 자세한 내용은 이 개요 문서 및 Microsoft Sentinel 및 Microsoft 365 Defender 통합 단계를 살펴보세요.
- Microsoft Sentinel의 SOAR(Microsoft Sentinel GitHub 리포지토리의 플레이북에 대한 링크 포함)에 대한 자세한 내용은 이 문서를 참조하세요.
Microsoft 365 Defender 사이버 보안에 대한 평가 프로세스
Microsoft는 다음과 같은 순서로 Microsoft 365의 구성 요소를 사용하도록 설정하는 것이 좋습니다.
다음 표에서는 이 그림에 대해 설명합니다.
| 일련 번호 | 단계 | 설명 |
|---|---|---|
| 1 | 평가 환경 만들기 | 이 단계에서는 Microsoft 365 Defender 대한 평가판 라이선스가 있는지 확인합니다. |
| 2 | Defender for Identity 사용 | 아키텍처 요구 사항을 검토하고, 평가를 사용하도록 설정하고, 다양한 공격 유형을 식별하고 수정하기 위한 자습서를 안내합니다. |
| 3 | Office 365용 Defender 사용 | 아키텍처 요구 사항을 충족하고, 평가를 사용하도록 설정한 다음, 파일럿 환경을 만들어야 합니다. 이 구성 요소에는 Exchange Online Protection 포함되므로 여기서 실제로 둘 다 평가합니다. |
| 4 | 엔드포인트용 Defender 사용 | 아키텍처 요구 사항을 충족하고, 평가를 사용하도록 설정한 다음, 파일럿 환경을 만들어야 합니다. |
| 5 | Microsoft Defender for Cloud Apps 사용 | 아키텍처 요구 사항을 충족하고, 평가를 사용하도록 설정한 다음, 파일럿 환경을 만들어야 합니다. |
| 6 | 위협 탐지 및 응답 | 공격을 시뮬레이션하고 인시던트 대응 기능을 사용하기 시작합니다. |
| 7 | 평가판을 제품으로 승격 | Microsoft 365 구성 요소를 하나씩 프로덕션으로 승격합니다. |
일반적으로 기능을 배포하고 구성하는 데 필요한 작업에 따라 기능의 가치를 빠르게 활용하도록 설계된 권장되는 주문입니다. 예를 들어 Office 365용 Defender 엔드포인트용 Defender에 디바이스를 등록하는 데 걸리는 시간보다 더 적은 시간에 구성할 수 있습니다. 물론 비즈니스 요구 사항에 맞게 구성 요소의 우선 순위를 지정해야 하며 다른 순서로 이러한 구성 요소를 사용하도록 설정할 수 있습니다.