제로 트러스트 사용하여 표시 유형, 자동화 및 오케스트레이션

제로 트러스트 보안 프레임워크의 특징인 관점의 중요한 변화 중 하나는 기본적으로 신뢰에서 예외별 신뢰로 전환하는 것입니다. 그러나 트러스트가 필요하면 신뢰할 수 있는 방법이 필요합니다. 요청이 더 이상 신뢰할 수 있다고 가정하지 않으므로 요청의 신뢰성을 증명하는 수단을 설정하는 것은 특정 시점의 신뢰성을 증명하는 데 중요합니다. 이 증명을 사용하려면 요청 안팎에서 활동을 파악할 수 있어야 합니다.

다른 제로 트러스트 가이드에서는 ID, 엔드포인트 및 디바이스, 데이터, , 인프라네트워크에서 엔드투엔드 제로 트러스트 접근 방식을 구현하는 방법을 정의했습니다. 이러한 모든 투자는 가시성을 높여 신뢰 결정을 내리기 위한 더 나은 데이터를 제공합니다. 그러나 이러한 6개 영역에서 제로 트러스트 접근 방식을 채택하면 SOC(보안 운영 센터) 분석가가 완화해야 하는 인시던트 수를 반드시 늘릴 수 있습니다. 분석가는 이미 인재 부족이 있는 시기에 그 어느 때보다 바쁘게 됩니다. 이로 인해 만성적인 경고 피로가 발생할 수 있으며 분석가가 중요한 경고를 누락할 수 있습니다.

Diagram of integrated capabilities to manage threats.

이러한 각 개별 영역이 자체 관련 경고를 생성하므로 위협을 더 잘 방어하고 트랜잭션에 대한 신뢰의 유효성을 검사하기 위해 결과 데이터 유입을 관리하는 통합 기능이 필요합니다.

다음을 수행할 수 있습니다.

  • 위협 및 취약성을 검색합니다.
  • 조사.
  • 응답.
  • 사냥.
  • 위협 분석을 통해 추가 컨텍스트를 제공합니다.
  • 취약성을 평가합니다.
  • 세계적 수준의 전문가의 도움 받기
  • 핵심 요소 간에 이벤트가 발생하지 않도록 방지하거나 차단합니다.

위협 관리에는 사후 대응 및 사전 감지가 포함되며 둘 다 지원하는 도구가 필요합니다.

사후 감지 는 조사할 수 있는 6가지 핵심 요소 중 하나에서 인시던트가 트리거되는 경우입니다. 또한 SIEM과 같은 관리 제품은 데이터를 보강하고 상관 관계를 지정하는 또 다른 분석 계층을 지원하여 인시던트를 나쁜 것으로 플래그 지정합니다. 다음 단계는 공격의 전체 이야기를 얻기 위해 조사하는 것입니다.

사전 예방적 검색 은 손상된 가설을 증명하기 위해 데이터에 헌팅을 적용하는 경우입니다. 위협 헌팅은 위반되었다는 가정으로 시작됩니다. 실제로 위반이 있다는 증거를 헌팅합니다.

위협 헌팅은 COVID-19 피싱 공격과 같은 현재 위협에 기반한 가설로 시작됩니다. 분석가는 이 가상의 위협으로 시작하고, 손상의 주요 지표를 식별하고, 데이터를 헌팅하여 환경이 손상되었다는 증거가 있는지 확인합니다. 지표가 있는 경우 헌팅 시나리오로 인해 특정 지표가 다시 발생할 경우 조직에 알리는 분석이 발생할 수 있습니다.

어느 쪽이든, 인시던트가 감지되면 공격의 전체 스토리를 작성하기 위해 인시던트를 조사해야 합니다. 사용자가 다른 작업을 수행했나요? 어떤 다른 시스템이 관련되었습니까? 실행된 실행 파일은 무엇인가요?

조사 결과 실행 가능한 학습이 발생하는 경우 수정 단계를 수행할 수 있습니다. 예를 들어 조사가 제로 트러스트 배포의 격차를 발견하면 이러한 격차를 해결하고 향후 원치 않는 인시던트를 방지하기 위해 정책을 수정할 수 있습니다. 가능하면 SOC 분석가가 위협을 해결하고 다음 인시던트로 이동하는 데 걸리는 시간을 줄이기 때문에 수정 단계를 자동화하는 것이 좋습니다.

위협 평가의 또 다른 주요 구성 요소는 수집된 데이터에 대해 알려진 위협 인텔리전스를 통합하는 것입니다. IP, 해시, URL, 파일, 실행 파일 등이 잘못된 것으로 알려진 경우 식별, 조사 및 수정할 수 있습니다.

인프라 핵심 요소에서는 취약성을 해결하는 데 시간이 소요되었습니다. 시스템이 취약한 것으로 알려져 있고 위협이 해당 취약성을 이용한 경우 이를 감지, 조사 및 수정할 수 있습니다.

이러한 전략을 사용하여 위협을 관리하려면 SOC 관리자가 위협 인텔리전스를 감지, 조사, 수정, 사냥, 활용하고, 알려진 취약성을 이해하고, 위협 전문가에 의지하고, 6가지 핵심 요소 중에서 위협을 차단할 수 있는 중앙 콘솔이 있어야 합니다. 이러한 단계를 지원하는 데 필요한 도구는 단일 워크플로로 수렴되는 경우 가장 잘 작동하여 SOC 분석가의 효율성을 높이는 원활한 환경을 제공합니다.

보안 운영 센터는 종종 SIEM 및 SOAR 기술의 조합을 배포하여 위협을 수집, 감지, 조사 및 대응합니다. Microsoft는 Microsoft Sentinel을 SIEM-as-a-Service 제품으로 제공합니다. Microsoft Sentinel은 모든 Pertahanan Microsoft untuk Identitas 및 타사 데이터를 수집합니다.

Microsoft Sentinel의 키 피드인 MTP(Microsoft Threat Protection)는 모든 Microsoft 365 구성 요소에서 컨텍스트 인식 보호, 검색 및 응답을 제공하는 통합 엔터프라이즈 방어 제품군을 제공합니다. 컨텍스트 인식 및 조정을 통해 Microsoft 365 사용하는 고객은 엔드포인트, 협업 도구, ID 및 애플리케이션에서 가시성과 보호를 얻을 수 있습니다.

이 계층 구조를 통해 고객이 포커스를 최대화할 수 있습니다. 컨텍스트 인식 및 자동화된 수정이지만 MTP는 이미 오버로드된 SOC 담당자에게 경고 피로를 더하지 않고도 많은 위협을 감지하고 중지할 수 있습니다. MTP 내부의 고급 헌팅은 이러한 컨텍스트를 사냥에 가져와 많은 주요 공격 지점에 집중합니다. 또한 Microsoft Sentinel을 통해 전체 에코시스템에서 헌팅 및 오케스트레이션을 수행하면 운영자의 인지 오버로드를 최소화하면서 다른 유형의 환경의 모든 측면에 대한 올바른 가시성을 얻을 수 있습니다.

배포 목표에 제로 트러스트 가시성, 자동화 및 오케스트레이션

가시성, 자동화 및 오케스트레이션을 위해 엔드 투 엔드 제로 트러스트 프레임워크를 구현하는 경우 먼저 이러한 초기 배포 목표에 집중하는 것이 좋습니다.

List icon with one checkmark.

가시성을 설정합니다.

II.자동화를 사용하도록 설정합니다.

이 작업이 완료되면 다음과 같은 추가 배포 목표에 집중합니다.

List icon with two checkmarks.

III.추가 보호 및 검색 컨트롤을 사용하도록 설정합니다.

가시성, 자동화 및 오케스트레이션 제로 트러스트 배포 가이드

이 가이드에서는 제로 트러스트 보안 프레임워크의 원칙에 따라 가시성, 자동화 및 오케스트레이션을 관리하는 데 필요한 단계를 안내합니다.




Checklist icon with one checkmark.

초기 배포 목표

나. 표시 유형 설정

첫 번째 단계는 MTP( Microsoft Threat Protection )를 사용하도록 설정하여 가시성을 설정하는 것입니다.

같이:

  1. Microsoft Threat Protection 워크로드 중 하나에 등록합니다.
  2. 워크로드를 사용하도록 설정하고 연결을 설정합니다.
  3. 디바이스 및 인프라에서 검색을 구성하여 환경에서 진행 중인 활동에 대한 즉각적인 가시성을 제공합니다. 이렇게 하면 중요한 데이터의 흐름을 시작하는 모든 중요한 "다이얼 톤"이 제공됩니다.
  4. Microsoft Threat Protection을 사용하여 워크로드 간 가시성 및 인시던트 검색을 얻을 수 있습니다.

II. 자동화 사용

가시성을 설정한 다음 주요 단계는 자동화를 사용하도록 설정하는 것입니다.

자동화된 조사 및 수정

Microsoft Threat Protection을 사용하면 조사 및 수정을 모두 자동화하여 기본적으로 추가 계층 1 SOC 분석을 제공합니다.

AIR(자동 조사 및 수정)을 점진적으로 사용하도록 설정하여 수행된 작업으로 편안함 수준을 개발할 수 있습니다.

같이:

  1. 테스트 그룹에 AIR를 사용하도록 설정합니다.
  2. 조사 단계 및 응답 작업을 분석합니다.
  3. 검색 및 응답 시간을 줄이기 위해 모든 디바이스에 대한 자동 승인으로 점진적으로 전환합니다.

제로 트러스트 모델을 배포하여 발생하는 인시던트를 파악하려면 MTP, 기타 Microsoft 데이터 커넥터 및 관련 타사 제품을 Microsoft Sentinel에 연결하여 인시던트 조사 및 대응을 위한 중앙 집중식 플랫폼을 제공하는 것이 중요합니다.

데이터 연결 프로세스의 일부로 관련 분석을 사용하도록 설정하여 인시던트를 트리거할 수 있으며 시간이 지남에 따라 데이터의 그래픽 표현을 위해 통합 문서를 만들 수 있습니다.

기계 학습 및 융합 분석은 기본 제공이지만 알려진 잘못된 엔터티와 관련된 이벤트를 식별하는 데 도움이 되도록 위협 인텔리전스 데이터를 Microsoft Sentinel에 수집할 수도 있습니다.




Checklist icon with two checkmarks.

추가 배포 목표

III. 추가 보호 및 검색 컨트롤 사용

추가 컨트롤을 사용하도록 설정하면 MTP 및 Sentinel로 들어오는 신호가 개선되어 응답을 오케스트레이션하는 가시성과 기능이 향상됩니다.

공격 표면 감소 컨트롤은 이러한 기회 중 하나를 나타냅니다. 이러한 보호 컨트롤은 맬웨어와 가장 연관된 특정 활동을 차단할 뿐만 아니라 특정 접근 방식을 사용하려는 시도도 제공하므로 프로세스 초기에 이러한 기술을 활용하는 악의적인 사람을 감지하는 데 도움이 될 수 있습니다.

이 가이드에서 다루는 제품

Microsoft Azure

Pertahanan Microsoft untuk Identitas

Microsoft Sentinel

Microsoft 365

Microsoft Threat Protection



제로 트러스트 배포 가이드 시리즈

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration