보안 제어 v3: 로깅 및 위협 탐지

  • 아티클

로깅 및 위협 탐지는 Azure에서 위협을 탐지하고, Azure 서비스의 기본 위협 탐지를 사용하여 높은 품질의 경고를 생성하는 컨트롤을 통해 탐지, 조사, 수정 프로세스를 사용하도록 설정하는 것을 비롯하여 Azure에서 위협을 탐지하고 Azure 서비스에 대한 감사 로그를 활성화, 수집, 저장하고는 컨트롤을 포함합니다. 또한 Azure Monitor를 통한 로그 수집, Azure Sentinel을 통한 보안 분석 중앙 집중화, 시간 동기화, 로그 보존을 포함합니다.

LT-1: 위협 탐지 기능 사용하도록 설정

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

보안 원칙: 위협 탐지 시나리오를 지원하기 위해 알려진 모든 리소스 종류에서 알려진 위협과 예상되는 위협 및 변칙 현상을 모니터링합니다. 가양성을 줄이기 위해 로그 데이터, 에이전트 또는 기타 데이터 원본에서 고품질 경고를 추출하도록 경고 필터링 및 분석 규칙을 구성합니다.

Azure 지침: 각 Azure 서비스에 대해 클라우드용 Microsoft Defender에서 Azure Defender 서비스의 위협 탐지 기능을 사용합니다.

Azure Defender 서비스에 포함되지 않은 위협 탐지 의 경우 해당 서비스에 대한 Azure Security Benchmark 서비스 기준을 참조하여 서비스 내에서 위협 탐지 또는 보안 경고 기능을 사용하도록 설정합니다. Azure Monitor 또는 Azure Sentinel에 대한 경고를 추출하여 환경 전체에서 특정 기준과 일치하는 위협을 헌팅하는 분석 규칙을 빌드합니다.

ICS(산업 제어 시스템) 또는 SCADA(감독 제어 및 데이터 수집) 리소스를 제어하거나 모니터링하는 컴퓨터가 포함된 OT(운영 기술) 환경의 경우 IoT용 Defender를 사용하여 자산을 인벤토리화하고 위협 및 취약성을 검색합니다.

기본 위협 탐지 기능이 없는 서비스의 경우 데이터 평면 로그를 수집하고 Azure Sentinel을 통해 위협을 분석하는 것이 좋습니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

LT-2: ID 및 액세스 관리에 대한 위협 탐지 사용

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

보안 원칙: 사용자 및 애플리케이션 로그인 및 액세스 변칙을 모니터링하여 ID 및 액세스 관리에 대한 위협을 검색합니다. 로그인 시도 실패 횟수 및 구독에서 더 이상 사용되지 않는 계정과 같은 동작 패턴을 경고해야 합니다.

Azure 지침: Azure AD는 Azure AD 보고를 통해 보거나 더 정교한 모니터링 및 분석 사용 사례를 위해 Azure Monitor, Azure Sentinel 또는 기타 SIEM/모니터링 도구와 통합할 수 있는 다음과 같은 로그를 제공합니다.

  • 로그인: 로그인 보고서는 관리형 애플리케이션 및 사용자 로그인 활동의 사용에 대한 정보를 제공합니다.
  • 감사 로그 - Azure AD 내의 다양한 기능에 의해 수행된 모든 변경 내용에 대한 로그를 통한 추적 기능을 제공합니다. 감사 로그의 예제로는 사용자, 앱, 그룹, 역할 및 정책 추가 또는 제거와 같은 Azure AD 내의 모든 리소스에 대한 변경 내용이 있습니다.
  • 위험한 로그인: 위험한 로그인은 사용자 계정의 정당한 소유자가 아닌 사용자에 의해 수행된 로그인 시도에 대한 지표입니다.
  • 위험 플래그가 지정된 사용자: 위험한 사용자는 손상되었을 수 있는 사용자 계정에 대한 표시기입니다.

Azure AD는 또한 사용자 계정 및 로그인 동작과 관련된 위험을 검색하고 수정하기 위한 ID 보호 모듈을 제공합니다. 위험의 예에는 자격 증명 유출, 익명 또는 맬웨어가 링크된 IP 주소에서 로그인, 암호 스프레이가 포함됩니다. Azure AD ID 보호의 정책을 사용하면 사용자 계정에 대한 Azure 조건부 액세스와 함께 위험 기반 MFA 인증을 적용할 수 있습니다.

또한 클라우드용 Microsoft Defender는 구독에서 더 이상 사용되지 않는 계정과 실패한 인증 시도 횟수와 같은 의심스러운 작업에 대해 경고하도록 구성할 수 있습니다. 기본 보안 위생 모니터링 외에도 클라우드용 Microsoft Defender의 위협 방지 모듈은 개별 Azure 컴퓨팅 리소스(예: 가상 머신, 컨테이너, App Service), 데이터 리소스(예: SQL DB 및 스토리지) 및 Azure 서비스 계층으로부터 보다 심층적인 보안 경고를 수집할 수도 있습니다. 해당 기능을 사용하면 개별 리소스 내에서 비정상 계정 활동을 볼 수 있습니다.

참고: 동기화를 위해 온-프레미스 Active Directory를 연결하는 경우 Microsoft Defender for Identity 솔루션의 온-프레미스 Active Directory 신호를 사용하여 조직을 대상으로 하는 지능형 위협, 손상된 ID 및 악의적인 내부 작업을 식별, 검색 및 조사합니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

LT-3: 보안 조사를 위한 로깅 사용하도록 설정

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

보안 원칙: 보안 인시던트 조사, 보안 대응 및 규정 준수 목적을 위한 요구 사항을 충족하기 위해 클라우드 리소스에 대한 로깅을 사용하도록 설정합니다.

Azure 지침: VM 내부의 Azure 리소스, 운영 체제 및 애플리케이션 및 기타 로그 유형과 같은 다양한 계층의 리소스에 대한 로깅 기능을 사용하도록 설정합니다.

관리 플레인/컨트롤 플레인 및 데이터 평면 계층에서 보안, 감사 및 기타 작업 로그에 대한 다양한 유형의 로그에 유의합니다. Azure 플랫폼에서 사용할 수 있는 로그에는 세 가지 유형이 있습니다.

  • Azure 리소스 로그: Azure 리소스(데이터 평면) 내에서 수행되는 작업의 로깅입니다. 예를 들어 키 자격 증명 모음에서 비밀을 가져오거나 데이터베이스에 요청을 수행할 수 있습니다. 이러한 로그의 내용은 Azure 서비스와 리소스 종류에 따라 달라집니다.
  • Azure 활동 로그: 외부(관리 평면)에서 구독 계층의 각 Azure 리소스에 대한 작업의 로깅입니다. 활동 로그를 사용하면 구독 리소스 관련 쓰기 작업(PUT, POST, DELETE)이 무엇이며 누가 언제 수행했는지 판단할 수 있습니다. Azure 구독마다 하나의 활동 로그가 있습니다.
  • Azure Active Directory 로그: 로그인 작업의 기록 및 특정 테넌트에 대한 Azure Active Directory의 변경 내용 감사 내역에 대한 로그입니다.

또한 클라우드용 Microsoft Defender 및 Azure Policy를 사용하여 Azure 리소스에서 리소스 로그 및 로그 데이터 수집을 사용하도록 설정할 수 있습니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

LT-4: 보안 조사를 위해 네트워크 로깅 사용하도록 설정

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10.8

보안 원칙: 네트워크 관련 인시던트 조사, 위협 헌팅 및 보안 경고 생성을 지원하기 위해 네트워크 서비스에 대한 로깅을 사용하도록 설정합니다. 네트워크 로그에는 IP 필터링, 네트워크 및 애플리케이션 방화벽, DNS, 흐름 모니터링 등과 같은 네트워크 서비스의 로그가 포함될 수 있습니다.

Azure 지침: 보안 분석을 위한 NSG(네트워크 보안 그룹) 리소스 로그, NSG 흐름 로그, Azure Firewall 로그, WAF(웹 애플리케이션 방화벽) 로그를 사용하도록 설정하고 수집하여 인시던트 조사, 보안 경고 생성을 지원합니다. 흐름 로그를 Azure Monitor Log Analytics 작업 영역으로 보낸 다음, 트래픽 분석을 사용하여 인사이트를 제공할 수 있습니다.

다른 네트워크 데이터의 상관 관계를 지원하기 위해 DNS 쿼리 로그를 수집합니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

LT-5: 보안 로그 관리 및 분석 중앙 집중화

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 해당 없음

보안 원칙: 로깅 스토리지 및 분석을 중앙 집중화하여 로그 데이터 간의 상관 관계를 가능하게 합니다. 각 로그 원본에 대해 데이터 소유자, 액세스 지침, 스토리지 위치, 데이터를 처리하고 액세스하는 데 사용되는 도구, 데이터 보존 요구 사항을 할당했는지 확인합니다.

Azure 지침: Azure 활동 로그를 중앙 집중식 Log Analytics 작업 영역에 통합하고 있는지 확인합니다. Azure Monitor를 사용하여 분석을 쿼리 및 수행하고 Azure 서비스, 엔드포인트 디바이스, 네트워크 리소스 및 기타 보안 시스템에서 집계된 로그를 사용하여 경고 규칙을 만듭니다.

또한 SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 응답) 기능을 제공하는 Azure Sentinel에 데이터를 사용하도록 설정하고 온보딩합니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

LT-6: 로그 스토리지 보존 구성

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

보안 원칙: 규정 준수, 규정 및 비즈니스 요구 사항에 따라 로그 보존 전략을 계획합니다. 로그가 적절하게 보관되도록 개별 로깅 서비스에서 로그 보존 정책을 구성합니다.

Azure 지침: Azure 활동 로그 이벤트와 같은 로그는 90일 동안 보관된 후 삭제됩니다. 진단 설정을 만들고 필요에 따라 로그 항목을 다른 위치(예: Azure Monitor Log Analytics 작업 영역, Event Hubs 또는 Azure Storage)로 라우팅해야 합니다. 이 전략은 VM 내부의 애플리케이션 및 운영 체제의 로그와 같이 사용자가 관리하는 다른 리소스 로그 및 리소스에도 적용됩니다.

다음과 같은 로그 보존 옵션이 있습니다.

  • 최대 1년의 로그 보존 기간 또는 대응 팀 요구 사항에 따라 Azure Monitor Log Analytics 작업 영역을 사용합니다.
  • Azure Storage, Data Explorer 또는 Data Lake를 1년 이상의 기간 동안 장기 보관 및 보관용 스토리지로 사용하고 보안 규정 준수 요구 사항을 충족합니다.
  • Azure Event Hubs를 사용하여 Azure 외부로 로그를 전달합니다.

참고: Azure Sentinel은 Log Analytics 작업 영역을 로그 스토리지의 백 엔드로 사용합니다. SIEM 로그를 장기간 보관하려면 장기 스토리지 전략을 고려해야 합니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):

LT-7: 승인된 시간 동기화 원본 사용

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.4 AU-8 10.4

보안 원칙: 날짜, 시간 및 표준 시간대 정보가 포함된 로깅 타임스탬프에 대해 승인된 시간 동기화 원본을 사용합니다.

Azure 지침: Microsoft는 대부분의 Azure PaaS 및 SaaS 서비스에 대한 시간 원본을 유지 관리합니다. 컴퓨팅 리소스 운영 체제의 경우 특정 요구 사항이 없는 한 시간 동기화를 위해 Microsoft 기본 NTP 서버를 사용합니다. 자체 NTP(네트워크 시간 프로토콜) 서버를 설정해야 하는 경우 UDP 서비스 포트 123을 보호해야 합니다.

Azure 내의 리소스에서 생성된 모든 로그는 기본적으로 지정된 표준 시간대의 타임스탬프를 제공합니다.

구현 및 추가 컨텍스트:

고객 보안 관련자(자세한 정보):