보안 제어: 인시던트 대응
인시던트 대응은 인시던트 대응 프로세스를 자동화하기 위해 클라우드용 Microsoft Defender, Sentinel 및/또는 기타 클라우드 서비스 같은 Azure 서비스를 사용하는 것을 포함하여 인시던트 대응 수명 주기의 제어(준비, 검색 및 분석, 억제, 인시던트 후 작업)를 다룹니다.
IR-1: 준비 - 인시던트 대응 계획 및 처리 프로세스 업데이트
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
보안 원칙: organization 업계 모범 사례를 따라 프로세스를 개발하고 클라우드 플랫폼의 보안 인시던트에 대응할 계획인지 확인합니다. 공유 책임 모델과 IaaS, PaaS 및 SaaS 서비스 간의 차이에 유의합니다. 이는 인시던트 알림 및 분류, 증거 컬렉션, 조사, 근절 및 복구와 같은 인시던트 대응 및 처리 작업에서 클라우드 공급자와 협력하는 방법에 직접적인 영향을 미칩니다.
인시던트 대응 계획 및 처리 프로세스를 정기적으로 테스트하여 최신 상태인지 확인합니다.
Azure 지침: Azure 플랫폼에서 인시던트 처리를 포함하도록 organization 인시던트 대응 프로세스를 업데이트합니다. 사용된 Azure 서비스와 애플리케이션 특성을 기반으로 인시던트 대응 계획 및 플레이북을 사용자 지정하여 클라우드 환경에서 인시던트에 대응하는 데 사용할 수 있도록 합니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: 인시던트 처리를 포함하도록 organization 인시던트 대응 프로세스를 업데이트합니다. AWS 플랫폼에서 인시던트 처리를 포함하도록 organization 인시던트 대응 프로세스를 업데이트하여 통합 다중 클라우드 인시던트 대응 계획을 수립합니다. 사용된 AWS 서비스와 애플리케이션 특성에 따라 AWS 보안 인시던트 대응 가이드에 따라 인시던트 대응 계획 및 플레이북을 사용자 지정하여 클라우드 환경에서 인시던트에 대응하는 데 사용할 수 있는지 확인합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: 인시던트 처리를 포함하도록 organization 인시던트 대응 프로세스를 업데이트합니다. Google Cloud 플랫폼에서 인시던트 처리를 포함하도록 organization 인시던트 대응 프로세스를 업데이트하여 통합 다중 클라우드 인시던트 대응 계획을 수립합니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
IR-2: 준비 - 인시던트 알림 설정
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
보안 원칙: 클라우드 서비스 공급자 플랫폼 및 환경의 보안 경고 및 인시던트 알림을 인시던트 대응 organization 올바른 연락처로 수신할 수 있는지 확인합니다.
Azure 지침: 클라우드용 Microsoft Defender 보안 인시던트 연락처 정보를 설정합니다. 이 연락처 정보는 MSRC(Microsoft 보안 대응 센터)가 불법적인 당사자나 권한 없는 당사자가 데이터에 액세스한 것을 발견한 경우 Microsoft가 연락하는 데 사용됩니다. 또한 인시던트 대응 요구 사항에 따라 다양한 Azure 서비스에서 인시던트 경고 및 알림을 사용자 지정할 수 있는 옵션도 있습니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS Systems Manager 인시던트 관리자(AWS의 인시던트 관리 센터)에서 보안 인시던트 연락처 정보를 설정합니다. 이 연락처 정보는 서로 다른 채널(예: Email, SMS 또는 음성)을 통해 사용자와 AWS 간의 인시던트 관리 통신에 사용됩니다. 연락처의 참여 계획 및 에스컬레이션 계획을 정의하여 인시던트 관리자가 연락처에 참여하는 방법과 시기를 설명하고 연락처가 인시던트에 대응하지 않는 경우 에스컬레이션할 수 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: 보안 명령 센터 또는 크로니클을 사용하여 특정 연락처에 대한 보안 인시던트 알림을 설정합니다. Google Cloud 서비스 및 타사 API를 사용하여 실시간 이메일 및 채팅 알림을 제공하여 보안 명령 센터에 대한 보안 결과를 경고하거나 플레이북을 사용하여 크로니클에서 알림을 보내는 작업을 트리거합니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
IR-3: 탐지 및 분석 – 고품질 경고를 기반으로 인시던트 만들기
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.9 | IR-4, IR-5, IR-7 | 10.8 |
보안 원칙: 고품질 경고를 만들고 경고의 품질을 측정하는 프로세스가 있는지 확인합니다. 이를 통해 과거 인시던트로부터 교훈을 습득하고 분석가에 대한 경고의 우선 순위를 지정할 수 있으므로 가양성에 시간을 낭비하지 않습니다.
고품질 경고는 이전 인시던트, 유효성이 검사된 커뮤니티 소스, 다양한 신호 원본을 결합하고 상관 관계를 설정하여 경고를 생성하고 정리하도록 설계된 도구 등에서 얻은 경험을 기반으로 구축할 수 있습니다.
Azure 지침: 클라우드용 Microsoft Defender 많은 Azure 자산에서 고품질 경고를 제공합니다. 클라우드용 Microsoft Defender 데이터 커넥터를 사용하여 경고를 Microsoft Sentinel로 스트리밍할 수 있습니다. Microsoft Sentinel을 사용하면 조사를 위해 인시던트를 자동으로 생성하는 고급 경고 규칙을 만들 수 있습니다.
내보내기 기능을 사용하여 Azure 리소스에 대한 위험을 식별할 수 있도록 하는 클라우드용 Microsoft Defender 경고 및 권장 사항을 내보냅니다. 경고 및 추천 사항을 수동 또는 지속적인 방식으로 내보냅니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: SecurityHub 또는 GuardDuty 및 기타 타사 도구와 같은 보안 도구를 사용하여 Amazon CloudWatch 또는 Amazon EventBridge에 경고를 보내 인시던트가 정의된 조건 및 규칙 집합에 따라 인시던트 관리자에서 자동으로 생성될 수 있도록 합니다. 추가 인시던트 처리 및 추적을 위해 인시던트 관리자에서 수동으로 인시던트 만들기를 수행할 수도 있습니다.
클라우드용 Microsoft Defender 사용하여 AWS 계정을 모니터링하는 경우 Microsoft Sentinel을 사용하여 AWS 리소스의 클라우드용 Microsoft Defender 식별된 인시던트도 모니터링하고 경고할 수 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Google Cloud 및 타사 서비스를 통합하여 보안 명령 센터 또는 크로니클에 로그 및 경고를 보내 인시던트가 정의된 기준에 따라 자동으로 생성될 수 있도록 합니다. 추가 인시던트 처리 및 추적을 위해 보안 명령 센터 또는 크로니클의 규칙에서 인시던트 결과를 수동으로 만들고 편집할 수도 있습니다.
클라우드용 Microsoft Defender 사용하여 GCP 프로젝트를 모니터링하는 경우 Microsoft Sentinel을 사용하여 GCP 리소스에서 클라우드용 Microsoft Defender 식별된 인시던트 모니터링 및 경고하거나 GCP 로그를 Microsoft Sentinel로 직접 스트리밍할 수도 있습니다.
GCP 구현 및 추가 컨텍스트:
- 보안 명령 센터 구성
- 규칙 편집기를 사용하여 규칙 관리
- 클라우드용 Microsoft Defender에 GCP 프로젝트 연결
- Microsoft Sentinel에 Google Cloud Platform 로그 스트리밍
고객 보안 관련자(자세한 정보) :
IR-4: 검색 및 분석 – 인시던트 조사
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 해당 없음 | IR-4 | 12.10 |
보안 원칙: 보안 운영 팀이 잠재적인 인시던트 조사 시 다양한 데이터 원본을 쿼리하고 사용하여 발생한 일에 대한 전체 보기를 빌드할 수 있는지 확인합니다. 사각지대를 방지하기 위해 다양한 로그를 수집하여 킬 체인 전체에서 잠재적 공격자의 활동을 추적해야 합니다. 또한 다른 분석가 및 향후 기록 참조를 위해 인사이트 및 습득 지식을 캡처해야 합니다.
조직에 보안 로그 및 경고 정보를 집계하는 기존 솔루션이 없는 경우 클라우드 네이티브 SIEM 및 인시던트 관리 솔루션을 사용합니다. 다른 원본에서 공급된 데이터를 기반으로 인시던트 데이터의 상관 관계를 분석하여 인시던트 조사를 촉진합니다.
Azure 지침: 보안 운영 팀이 scope 서비스 및 시스템에서 수집된 다양한 데이터 원본을 쿼리하고 사용할 수 있는지 확인합니다. 또한 소스에는 다음이 포함될 수도 있습니다.
- ID 및 액세스 로그 데이터: id 및 액세스 이벤트의 상관 관계를 지정하기 위해 Azure AD 로그 및 워크로드(예: 운영 체제 또는 애플리케이션 수준) 액세스 로그를 사용합니다.
- 네트워크 데이터: 네트워크 보안 그룹의 흐름 로그, Azure Network Watcher 및 Azure Monitor를 사용하여 네트워크 흐름 로그 및 기타 분석 정보를 캡처합니다.
- 영향을 받는 시스템의 스냅샷에서 인시던트 관련 활동 데이터이며 다음을 통해 얻을 수 있습니다.
- 실행 중인 시스템 디스크의 스냅샷 만들기 위한 Azure 가상 머신의 스냅샷 기능입니다.
- 운영 체제의 네이티브 메모리 덤프 기능으로 실행 중인 시스템 메모리의 스냅샷 만듭니다.
- 다른 지원되는 Azure 서비스 또는 소프트웨어 자체 기능의 스냅샷 기능을 사용하여 실행 중인 시스템의 스냅샷을 만듭니다.
Microsoft Sentinel은 거의 모든 로그 원본 및 사례 관리 포털에서 광범위한 데이터 분석을 제공하여 인시던트의 전체 수명 주기를 관리합니다. 조사 중에 인텔리전스 정보는 추적 및 보고를 위해 인시던트에 연결할 수 있습니다.
참고: 조사를 위해 인시던트 관련 데이터를 캡처할 때 로깅을 사용하지 않도록 설정하거나 로그를 제거하는 등 무단 변경으로부터 데이터를 보호하기 위한 적절한 보안이 있는지 확인합니다. 이 보안은 진행 중인 데이터 위반 작업 중에 공격자가 수행할 수 있습니다.
Azure 구현 및 추가 컨텍스트:
- Windows 컴퓨터의 디스크 스냅샷 만들기
- Linux 컴퓨터의 디스크 스냅샷 만들기
- Microsoft Azure 지원 진단 정보 및 메모리 덤프 수집
- Azure Sentinel을 사용하여 인시던트 조사
AWS 지침: 조사를 위한 데이터 원본은 scope 서비스 및 실행 중인 시스템에서 수집하는 중앙 집중식 로깅 원본이지만 다음을 포함할 수도 있습니다.
- ID 및 액세스 로그 데이터: ID 및 액세스 이벤트의 상관 관계를 지정하기 위해 IAM 로그 및 워크로드(예: 운영 체제 또는 애플리케이션 수준)에 액세스 로그를 사용합니다.
- 네트워크 데이터: VPC 흐름 로그, VPC 트래픽 미러 및 Azure CloudTrail 및 CloudWatch를 사용하여 네트워크 흐름 로그 및 기타 분석 정보를 캡처합니다.
- 다음을 통해 얻을 수 있는 실행 중인 시스템의 스냅샷:
- 실행 중인 시스템 디스크의 스냅샷 만드는 Amazon EC2(EBS)의 스냅샷 기능입니다.
- 운영 체제의 네이티브 메모리 덤프 기능으로 실행 중인 시스템 메모리의 스냅샷 만듭니다.
- AWS 서비스의 스냅샷 기능 또는 소프트웨어 고유의 기능으로 실행 중인 시스템의 스냅샷을 만듭니다.
SIEM 관련 데이터를 Microsoft Sentinel로 집계하는 경우 거의 모든 로그 원본 및 사례 관리 포털에서 광범위한 데이터 분석을 제공하여 인시던트 전체 수명 주기를 관리합니다. 조사 중에 인텔리전스 정보는 추적 및 보고를 위해 인시던트에 연결할 수 있습니다.
참고: 조사를 위해 인시던트 관련 데이터를 캡처할 때 로깅을 사용하지 않도록 설정하거나 로그를 제거하는 등 무단 변경으로부터 데이터를 보호하기 위한 적절한 보안이 있는지 확인합니다. 이 보안은 진행 중인 데이터 위반 작업 중에 공격자가 수행할 수 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: 조사를 위한 데이터 원본은 scope 서비스 및 실행 중인 시스템에서 수집하는 중앙 집중식 로깅 원본이지만 다음을 포함할 수도 있습니다.
- ID 및 액세스 로그 데이터: ID 및 액세스 이벤트의 상관 관계를 지정하기 위해 IAM 로그 및 워크로드(예: 운영 체제 또는 애플리케이션 수준)에 액세스 로그를 사용합니다.
- 네트워크 데이터: VPC 흐름 로그 및 VPC 서비스 컨트롤을 사용하여 네트워크 흐름 로그 및 기타 분석 정보를 캡처합니다.
- 다음을 통해 얻을 수 있는 실행 중인 시스템의 스냅샷:
- GCP VM의 스냅샷 기능으로 실행 중인 시스템 디스크의 스냅샷 만듭니다.
- 운영 체제의 네이티브 메모리 덤프 기능으로 실행 중인 시스템 메모리의 스냅샷 만듭니다.
- GCP 서비스의 스냅샷 기능 또는 소프트웨어 고유의 기능으로 실행 중인 시스템의 스냅샷을 만듭니다.
SIEM 관련 데이터를 Microsoft Sentinel로 집계하는 경우 거의 모든 로그 원본 및 사례 관리 포털에서 광범위한 데이터 분석을 제공하여 인시던트 전체 수명 주기를 관리합니다. 조사 중에 인텔리전스 정보는 추적 및 보고를 위해 인시던트에 연결할 수 있습니다.
참고: 조사를 위해 인시던트 관련 데이터를 캡처할 때 로깅을 사용하지 않도록 설정하거나 로그를 제거하는 등 무단 변경으로부터 데이터를 보호하기 위한 적절한 보안이 있는지 확인합니다. 이 보안은 진행 중인 데이터 위반 작업 중에 공격자가 수행할 수 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
IR-5: 탐지 및 분석 – 인시던트 우선 순위 지정
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
보안 원칙: 보안 운영 팀에 컨텍스트를 제공하여 organization 인시던트 대응 계획에 정의된 경고 심각도 및 자산 민감도에 따라 먼저 집중해야 하는 인시던트 결정에 도움을 줍니다.
또한 태그를 사용하여 리소스를 표시하고, 클라우드 리소스, 특히 중요한 데이터를 처리하는 리소스를 식별하고 분류할 수 있는 명명 시스템을 만듭니다. 인시던트가 발생한 리소스 및 환경의 중요도에 따라 경고의 수정에 대한 우선 순위를 지정해야 합니다.
Azure 지침: 클라우드용 Microsoft Defender 먼저 조사해야 하는 경고의 우선 순위를 지정하는 데 도움이 되도록 각 경고에 심각도를 할당합니다. 심각도는 클라우드용 Microsoft Defender가 경고를 발행하는 데 사용된 분석 또는 결과에 대해 얼마나 확신하는지와 경고를 유발한 작업 이면에 악의적인 의도가 있었다는 신뢰 수준을 기반으로 합니다.
마찬가지로 Microsoft Sentinel은 분석 규칙에 따라 할당된 심각도 및 기타 세부 정보를 사용하여 경고 및 인시던트를 만듭니다. 분석 규칙 템플릿을 사용하고 인시던트 우선 순위를 지원하는 organization 필요에 따라 규칙을 사용자 지정합니다. Microsoft Sentinel의 자동화 규칙을 사용하여 인시던트 태그 지정을 포함하여 보안 작업의 팀 효율성과 효율성을 극대화하기 위해 위협 대응을 관리하고 오케스트레이션합니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: 인시던트 관리자에서 생성된 각 인시던트에 대해 인시던트의 심각도 측정값 및 영향을 받은 자산의 중요도 수준과 같은 organization 정의된 기준에 따라 영향 수준을 할당합니다.
AWS 구현 및 추가 컨텍스트:
*GCP 지침: 보안 명령 센터에서 생성된 각 인시던트에 대해 시스템에서 할당한 심각도 등급 및 organization 정의된 기타 기준에 따라 경고의 우선 순위를 결정합니다. 영향을 받은 자산의 인시던트 심각도 및 중요도 수준을 측정하여 먼저 조사해야 하는 경고를 결정합니다.
마찬가지로 만성에서 사용자 지정 규칙을 정의하여 인시던트 대응 우선 순위를 결정할 수 있습니다. GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
IR-6: 차단, 제거, 복구 - 인시던트 처리 자동화
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 해당 없음 | IR-4, IR-5, IR-6 | 12.10 |
보안 원칙: 수동 반복 작업을 자동화하여 응답 시간을 단축하고 분석가의 부담을 줄입니다. 수동 작업은 실행하는 데 더 오래 걸려 각 인시던트의 속도를 늦추고 분석가가 처리할 수 있는 인시던트 수를 줄입니다. 또한 수동 작업은 분석가를 지치게 하여 지연을 유발하는 인간 오류의 위험을 높이고, 복잡한 작업에 효과적으로 집중할 수 있는 분석가의 능력을 저하시킵니다.
Azure 지침: 클라우드 및 Microsoft Sentinel용 Microsoft Defender 워크플로 자동화 기능을 사용하여 자동으로 작업을 트리거하거나 플레이북을 실행하여 들어오는 보안 경고에 응답합니다. 플레이북은 알림 보내기, 계정 비활성화 및 문제가 있는 네트워크 격리와 같은 작업을 수행합니다.
Azure 구현 및 추가 컨텍스트:
- Security Center에서 워크플로 자동화 구성
- 클라우드용 Microsoft Defender에서 자동화된 위협 대응 설정
- Azure Sentinel에서 자동화된 위협 응답 설정
AWS 지침: Microsoft Sentinel을 사용하여 인시던트 중앙에서 관리하는 경우 자동화된 작업을 만들거나 플레이북을 실행하여 들어오는 보안 경고에 응답할 수도 있습니다.
또는 AWS System Manager의 자동화 기능을 사용하여 연락처에 알리거나 Runbook을 실행하여 계정 사용 안 함, 문제가 있는 네트워크 격리 등 인시던트 대응 계획에 정의된 작업을 자동으로 트리거합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Microsoft Sentinel을 사용하여 인시던트 중앙에서 관리하는 경우 자동화된 작업을 만들거나 플레이북을 실행하여 들어오는 보안 경고에 응답할 수도 있습니다.
또는 크로니클의 플레이북 자동화를 사용하여 연락처에 알리거나 경고에 응답하기 위해 플레이북을 실행하는 등 인시던트 대응 계획에 정의된 작업을 자동으로 트리거합니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
IR-7: 인시던트 후 활동 - 배운 교훈을 수행하고 증거를 유지합니다.
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
보안 원칙: organization 정기적으로 및/또는 주요 인시던트 이후에 배운 교훈을 수행하여 인시던트 대응 및 처리에서 향후 기능을 개선합니다.
인시던트의 성격에 따라 인시던트 처리 기준에 명시된 기간 동안 인시던트와 관련된 증거 자료를 보관하여 추후 분석이나 법적 작업을 취합니다.
Azure 지침: 학습된 단원 활동의 결과를 사용하여 인시던트 대응 계획, 플레이북(예: Microsoft Sentinel 플레이북)을 업데이트하고, 결과를 사용자 환경에 다시 통합하여(예: 로깅의 격차를 해결하기 위해 로깅 및 위협 탐지) Azure에서 인시던트 검색, 대응 및 처리의 향후 기능을 개선합니다.
변경 불가능한 보존을 위해 Azure Storage 계정과 같은 스토리지에서 시스템 로그, 네트워크 트래픽 덤프 및 실행 중인 시스템 스냅샷과 같은 "검색 및 분석 - 인시던트 단계 조사" 중에 수집된 증거를 유지합니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: 표준 인시던트 분석 템플릿 또는 사용자 지정 템플릿을 사용하여 인시던트 관리자에서 종결된 인시던트에 대한 인시던트 분석을 만듭니다. 학습된 단원 활동의 결과를 사용하여 인시던트 대응 계획, 플레이북(예: AWS Systems Manager Runbook 및 Microsoft Sentinel 플레이북)을 업데이트하고, 결과를 환경(예: 로깅 및 위협 감지)에 다시 통합하여 AWS에서 인시던트를 검색, 대응 및 처리하는 향후 기능을 향상시킵니다.
변경 불가능한 보존을 위해 Amazon S3 버킷 또는 Azure Storage 계정과 같은 스토리지에서 시스템 로그, 네트워크 트래픽 덤프 및 실행 중인 시스템 스냅샷 같은 "검색 및 분석 - 인시던트 단계 조사" 중에 수집된 증거를 유지합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: 학습된 단원 활동의 결과를 사용하여 인시던트 대응 계획, 플레이북(예: 크로니클 또는 Microsoft Sentinel 플레이북)을 업데이트하고, 결과를 환경(예: 로깅 및 위협 감지)에 다시 통합하여 GCP에서 인시던트를 감지, 대응 및 처리하는 향후 기능을 개선합니다.
변경 불가능한 보존을 위해 "검색 및 분석 - 인시던트 단계 조사" 중에 수집된 증거를 유지합니다(예: 시스템 로그, 네트워크 트래픽 덤프 및 변경 불가능한 보존을 위해 Google Cloud Storage 또는 Azure Storage 계정과 같은 스토리지에서 시스템 스냅샷 실행).
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :