보안 제어 v3: 인시던트 대응

인시던트 대응은 인시던트 대응 프로세스를 자동화하기 위해 클라우드용 Microsoft Defender 및 Sentinel과 같은 Azure 서비스를 사용하는 것을 포함하여 인시던트 대응 수명 주기의 제어(준비, 검색 및 분석, 억제, 인시던트 후 작업)를 다룹니다.

IR-1: 준비 - 인시던트 대응 계획 및 처리 프로세스 업데이트

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
17.4, 17.7	IR-4, IR-8	10.8

보안 원칙: 조직이 업계 모범 사례를 따라 클라우드 플랫폼의 보안 인시던트에 대응하기 위한 프로세스와 계획을 개발하도록 합니다. 공유 책임 모델과 IaaS, PaaS 및 SaaS 서비스 간의 차이에 유의합니다. 이는 인시던트 알림 및 분류, 증거 컬렉션, 조사, 근절 및 복구와 같은 인시던트 대응 및 처리 작업에서 클라우드 공급자와 협력하는 방법에 직접적인 영향을 미칩니다.

인시던트 대응 계획 및 처리 프로세스를 정기적으로 테스트하여 최신 상태인지 확인합니다.

Azure 지침: Azure 플랫폼에서 인시던트 처리를 포함하도록 조직의 인시던트 대응 프로세스를 업데이트합니다. 사용된 Azure 서비스와 애플리케이션 특성을 기반으로 인시던트 대응 계획 및 플레이북을 사용자 지정하여 클라우드 환경에서 인시던트에 대응하는 데 사용할 수 있도록 합니다.

구현 및 추가 컨텍스트:

• 엔터프라이즈 환경에서 보안 구현
• 인시던트 응답 참조 가이드
• NIST SP800-61 컴퓨터 보안 인시던트 처리 가이드

고객 보안 관련자(자세한 정보):

• 보안 운영
• 인시던트 준비
• 위협 인텔리전스

IR-2: 준비 - 인시던트 알림 설정

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
17.1, 17.3, 17.6	IR-4, IR-8, IR-5, IR-6	12.10

보안 원칙: 인시던트 대응 조직의 정확한 연락처를 통해 클라우드 서비스 공급자의 플랫폼 및 환경에서 보안 경고 및 인시던트 경고를 받을 수 있는지 확인합니다.

Azure 지침: 클라우드용 Microsoft Defender에서 보안 인시던트 연락처 정보를 설정합니다. 이 연락처 정보는 MSRC(Microsoft 보안 대응 센터)가 불법적인 당사자나 권한 없는 당사자가 데이터에 액세스한 것을 발견한 경우 Microsoft가 연락하는 데 사용됩니다. 또한 인시던트 응답 요구 사항에 따라 다양한 Azure 서비스에서 인시던트 경고 및 알림을 사용자 지정하는 옵션도 있습니다.

구현 및 추가 컨텍스트:

• 클라우드용 Microsoft Defender 보안 연락처를 설정하는 방법

고객 보안 관련자(자세한 정보):

• 보안 운영
• 인시던트 준비

IR-3: 탐지 및 분석 – 고품질 경고를 기반으로 인시던트 만들기

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
17.9	IR-4, IR-5, IR-7	10.8

보안 원칙: 고품질 경고를 만들고 경고 품질을 측정하는 프로세스가 있는지 확인합니다. 이를 통해 과거 인시던트로부터 교훈을 습득하고 분석가에 대한 경고의 우선 순위를 지정할 수 있으므로 가양성에 시간을 낭비하지 않습니다.

고품질 경고는 이전 인시던트, 유효성이 검사된 커뮤니티 소스, 다양한 신호 원본을 결합하고 상관 관계를 설정하여 경고를 생성하고 정리하도록 설계된 도구 등에서 얻은 경험을 기반으로 구축할 수 있습니다.

Azure 지침: 클라우드용 Microsoft Defender는 많은 Azure 자산에 대해 고품질 경고를 제공합니다. 클라우드용 Microsoft Defender 데이터 커넥터를 사용하여 Azure Sentinel에 경고를 스트리밍할 수 있습니다. Azure Sentinel을 사용하면 조사를 위해 인시던트를 자동으로 생성하는 고급 경고 규칙을 만들 수 있습니다.

내보내기 기능을 사용하여 Azure 리소스에 대한 위험을 식별할 수 있도록 하는 클라우드용 Microsoft Defender 경고 및 권장 사항을 내보냅니다. 경고 및 추천 사항을 수동 또는 지속적인 방식으로 내보냅니다.

구현 및 추가 컨텍스트:

• 내보내기를 구성하는 방법
• 경고를 Azure Sentinel로 스트림하는 방법

고객 보안 관련자(자세한 정보):

• 보안 운영
• 인시던트 준비
• 위협 인텔리전스

IR-4: 검색 및 분석 – 인시던트 조사

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
해당 없음	IR-4	12.10

보안 원칙: 보안 운영팀이 잠재적 인시던트를 조사할 때 다양한 데이터 원본을 쿼리하고 사용하여 발생한 상황에 대한 전체 보기를 빌드할 수 있도록 합니다. 사각지대를 방지하기 위해 다양한 로그를 수집하여 킬 체인 전체에서 잠재적 공격자의 활동을 추적해야 합니다. 또한 다른 분석가 및 향후 기록 참조를 위해 인사이트 및 습득 지식을 캡처해야 합니다.

Azure 지침: 조사를 위한 데이터 원본은 범위 내 서비스 및 실행 중인 시스템에서 이미 수집되고 있지만 다음을 포함할 수도 있는 중앙 집중식 로깅 원본입니다.:

• 네트워크 데이터: 네트워크 보안 그룹의 흐름 로그, Azure Network Watcher 및 Azure Monitor를 사용하여 네트워크 흐름 로그 및 기타 분석 정보를 캡처합니다.
• 실행 중인 컴퓨터의 스냅샷: a) 실행 중인 컴퓨터의 디스크에 대한 스냅샷을 만들기 위한 Azure Virtual Machines의 스냅샷 기능. b) 운영 체제의 기본 메모리 덤프 기능, 실행 중인 시스템의 메모리에 대한 스냅샷을 만듭니다. c) Azure 서비스의 스냅샷 기능 또는 소프트웨어의 자체 기능, 실행 중인 시스템의 스냅샷을 만듭니다.

Azure Sentinel은 거의 모든 로그 원본 및 사례 관리 포털에서 광범위한 데이터 분석을 제공하여 인시던트의 전체 수명 주기를 관리합니다. 조사 중에 인텔리전스 정보는 추적 및 보고를 위해 인시던트에 연결할 수 있습니다.

구현 및 추가 컨텍스트:

• Windows 컴퓨터의 디스크 스냅샷 만들기
• Linux 컴퓨터의 디스크 스냅샷 만들기
• Microsoft Azure 지원 진단 정보 및 메모리 덤프 수집
• Azure Sentinel을 사용하여 인시던트 조사

고객 보안 관련자(자세한 정보):

• 보안 운영
• 인시던트 준비
• 위협 인텔리전스

IR-5: 탐지 및 분석 – 인시던트 우선 순위 지정

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
17.4, 17.9	IR-4	12.10

보안 원칙: 보안 운영 팀이 조직의 인시던트 대응 계획에 정의된 경고 심각도 및 자산 민감도에 따라 어떤 인시던트에 먼저 집중해야 하는지 결정할 수 있도록 컨텍스트를 제공합니다.

Azure 지침: 클라우드용 Microsoft Defender는 각 경고에 심각도를 할당하여 먼저 조사해야 하는 경고의 우선 순위를 지정하는 데 도움이 됩니다. 심각도는 클라우드용 Microsoft Defender가 경고를 발행하는 데 사용된 분석 또는 결과에 대해 얼마나 확신하는지와 경고를 유발한 작업 이면에 악의적인 의도가 있었다는 신뢰 수준을 기반으로 합니다.

또한 태그를 사용하여 리소스를 표시하고, Azure 리소스, 특히 중요한 데이터를 처리하는 리소스를 식별하고 분류할 수 있는 명명 시스템을 만듭니다. 인시던트가 발생한 Azure 리소스 및 환경의 중요도에 따라 경고의 수정에 대한 우선 순위를 지정해야 합니다.

구현 및 추가 컨텍스트:

• Microsoft Defender for Cloud의 보안 경고
• 태그를 사용하여 Azure 리소스 구성.

고객 보안 관련자(자세한 정보):

• 보안 운영
• 인시던트 준비
• 위협 인텔리전스

IR-6: 차단, 제거, 복구 - 인시던트 처리 자동화

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
해당 없음	IR-4, IR-5, IR-6	12.10

보안 원칙: 수동 반복 작업을 자동화하여 응답 시간을 단축하고 분석가의 부담을 줄입니다. 수동 작업은 실행하는 데 더 오래 걸려 각 인시던트의 속도를 늦추고 분석가가 처리할 수 있는 인시던트 수를 줄입니다. 또한 수동 작업은 분석가를 지치게 하여 지연을 유발하는 인간 오류의 위험을 높이고, 복잡한 작업에 효과적으로 집중할 수 있는 분석가의 능력을 저하시킵니다.

Azure 지침: Azure Sentinel 및 클라우드용 Microsoft Defender의 워크플로 자동화 기능을 사용하여 자동으로 작업을 트리거하거나 플레이북을 실행하여 수신되는 보안 경고에 응답합니다. 플레이북은 알림 보내기, 계정 사용 안 함 및 문제가 있는 네트워크 격리와 같은 작업을 수행합니다.

구현 및 추가 컨텍스트:

• 클라우드용 Microsoft Defender에서 워크플로 자동화 구성
• 클라우드용 Microsoft Defender에서 자동화된 위협 대응 설정
• Azure Sentinel에서 자동화된 위협 응답 설정

고객 보안 관련자(자세한 정보):

• 보안 운영
• 인시던트 준비
• 위협 인텔리전스

IR-7: 인시던트 후 작업 - 학습된 단원 수행 및 증거 보존

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
17.8	IR-4	12.10

보안 원칙: 조직에서 학습한 교훈을 주기적으로 및/또는 주요 인시던트 이후에 실시하여 향후 인시던트 대응 및 처리 기능을 개선시킵니다.

인시던트의 성격에 따라 인시던트 처리 기준에 명시된 기간 동안 인시던트와 관련된 증거 자료를 보관하여 추후 분석이나 법적 작업을 취합니다.

Azure 지침: 학습 작업의 결과를 사용하여 인시던트 대응 계획, 플레이북(예: Azure Sentinel 플레이북)을 업데이트하고 발견 사항을 환경에 다시 통합(예: 로깅 및 위협 탐지를 통해 로깅 격차 해결)하여 Azure에서 인시던트를 검색, 대응 및 처리하는 미래의 기능을 개선시킬 수 있습니다.

시스템 로그, 네트워크 트래픽 덤프 및 보존을 위해 Azure Storage 계정과 같은 스토리지에서 실행 중인 시스템 스냅샷과 같은 "검색 및 분석 - 인시던트 조사 단계" 동안 수집된 증거를 유지합니다.

구현 및 추가 컨텍스트:

• 인시던트 대응 프로세스 - 인시던트 후 정리

고객 보안 관련자(자세한 정보):

• 보안 운영
• 인시던트 준비
• 위협 인텔리전스