1단계. Microsoft 365 Defender 작업 준비 계획
참고
Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.
적용 대상:
- Microsoft 365 Defender
보안 작업의 현재 완성도에 관계없이 SOC(보안 운영 센터)에 맞추는 것이 중요합니다. 모든 조직에 맞는 단일 모델은 없지만 다른 조직보다 더 일반적인 특정 측면이 있습니다.
다음 섹션에서는 SOC의 핵심 기능에 대해 설명합니다.
최신 위협에 대한 상황 인식 제공
SOC 팀은 조직과 협력하여 대책과 대응을 수립할 수 있도록 신규 및 들어오는 위협을 준비하고 헌팅합니다. SOC 팀에는 최신 공격 방법 및 기술을 고도로 학습하고 위협 행위자를 이해하는 직원이 있어야 합니다. Cyber Kill Chain 또는 MITRE ATT&CK 프레임워크와 같은 공유 위협 인텔리전스 및 프레임워크는 위협 분석가 및 위협 사냥꾼의 직원에게 권한을 부여할 수 있습니다.
사이버 인시던트 및 이벤트에 대한 첫 번째, 두 번째 및 잠재적으로 세 번째 수준 대응 제공
SOC는 보안 이벤트 및 인시던트에 대한 방어의 최전선입니다. 이벤트, 위협, 공격, 정책 위반 또는 감사 검색이 경고 또는 작업 호출을 트리거하는 경우 SOC 팀은 평가를 수행하여 심사하고 이를 포함하거나 조사를 위해 에스컬레이션합니다. 따라서 SOC 일선 응답자는 보안 이벤트 및 지표에 대한 광범위한 기술 지식을 가지고 있어야 합니다.
조직의 보안 원본 모니터링 및 로깅 중앙 집중화
일반적으로 SOC 팀의 핵심 기능은 방화벽, 침입 방지 시스템, 데이터 손실 방지 시스템, 위협 및 취약성 관리 시스템 및 ID 시스템과 같은 모든 보안 디바이스가 올바르게 작동하고 모니터링되는지 확인하는 것입니다. SOC 팀은 ID, DevOps, 클라우드, 애플리케이션, 데이터 과학 및 기타 비즈니스 팀과 같은 광범위한 네트워크 운영과 협력하여 보안 정보 분석이 중앙 집중화되고 보호되도록 합니다. 또한 SOC 팀은 서로 다른 형식의 구문 분석 및 정규화를 포함할 수 있는 사용 가능하고 읽기 쉬운 형식으로 데이터 로그를 유지 관리할 책임이 있습니다.
Red, Blue 및 Purple 팀 운영 준비 설정
모든 SOC 팀은 사이버 사고에 대응할 준비를 테스트해야 합니다. 테스트는 IT, 보안 및 비즈니스 수준에서 다양한 개인과 함께 테이블 탑 및 연습 실행과 같은 교육 연습을 통해 수행할 수 있습니다. 개별 훈련 팀은 대표적 역할을 기반으로 만들어지고, 수비수(블루 팀), 공격자(레드 팀) 또는 연습 중에 발견된 강점과 약점을 통해 블루팀과 레드 팀의 방법과 기술을 개선하려는 관찰자로 활약하고 있습니다(자주색 팀).