편집

AWS용 Azure 보안 솔루션

Azure
Microsoft Sentinel
Microsoft Defender for Cloud 앱
Microsoft Defender for Cloud

이 가이드에서는 Microsoft Defender for Cloud Apps 및 Microsoft Sentinel이 AWS(Amazon Web Services) 계정 액세스 및 환경을 보호하는 방법을 보여 줍니다.

Microsoft 365 또는 하이브리드 클라우드 ID 및 액세스 보호에 Microsoft Entra ID를 사용하는 AWS 조직은 종종 추가 비용 없이 AWS 계정에 대한 Microsoft Entra ID를 빠르고 쉽게 배포할 수 있습니다.

아키텍처

이 다이어그램에서는 AWS 설치가 주요 Microsoft 보안 구성 요소의 이점을 활용할 수 있는 방법을 요약합니다.

Architecture diagram that shows the benefits of implementing Azure security for AWS.

이 아키텍처의 PowerPoint 파일을 다운로드합니다.

워크플로

  • Microsoft Entra ID는 다단계 인증 및 조건부 액세스 기능을 통해 중앙 집중식 SSO(Single Sign-On) 및 강력한 인증제공합니다. Microsoft Entra ID는 AWS 리소스에 대한 액세스를 위한 AWS 역할 기반 ID 및 권한 부여를 지원합니다. 자세한 내용과 자세한 지침은 AWS용 Microsoft Entra ID 및 액세스 관리를 참조 하세요. Microsoft Entra 사용 권한 관리는 Azure ID 또는 리소스에 대한 사용 권한을 포괄적으로 표시하고 제어하는 CIEM(클라우드 인프라 권한 관리) 제품입니다. Microsoft Entra 사용 권한 관리 사용하여 다음을 수행할 수 있습니다.

    • ID, 권한 및 리소스를 평가하여 위험에 대한 다차원 보기를 가져옵니다.
    • 전체 다중 클라우드 인프라에서 최소 권한 정책 적용을 자동화합니다.
    • 변칙 및 이상값 검색을 사용하여 권한의 오용 및 악의적인 악용으로 인한 데이터 위반을 방지합니다.

    자세한 내용 및 자세한 온보딩 지침은 AWS(Amazon Web Services) 계정 온보딩을 참조하세요.

  • 클라우드용 Defender 앱:

    • Microsoft Entra 조건부 액세스 기능과 통합되어 추가 제한을 적용합니다.
    • 로그인 후 세션을 모니터링하고 보호할 수 있습니다.
    • UBA(사용자 동작 분석) 및 기타 AWS API를 사용하여 세션 및 사용자를 모니터링하고 정보 보호를 지원합니다.

  • 클라우드용 Microsoft Defender는 Azure 권장 사항과 함께 클라우드용 Defender 포털에 AWS 보안 권장 사항을 표시합니다. 클라우드용 Defender는 IaaS(Infrastructure as a Service) 및 PaaS(Platform as a Service) 서비스에 대한 160개 이상의 기본 권장 사항을 제공합니다. 또한 CIS(Center for Internet Security) 및 PCI(결제 카드 업계) 표준 및 AWS 기본 보안 모범 사례 표준을 비롯한 규정 표준에 대한 지원을 제공합니다. 클라우드용 Defender는 Amazon EKS 클러스터, AWS EC2 인스턴스AWS EC2에서 실행되는 SQL 서버에 대한 CWP(클라우드 워크로드 보호)도 제공합니다.

  • Microsoft Sentinel은 Defender for Cloud Apps 및 AWS와 통합되어 위협을 감지하고 자동으로 대응합니다. Microsoft Sentinel은 AWS ID, 디바이스, 애플리케이션 및 데이터에 대한 잘못된 구성, 잠재적인 맬웨어 및 고급 위협 등에 대해 AWS 환경을 모니터링합니다.

구성 요소

표시 여부 및 제어를 위한 Defender for Cloud Apps

여러 사용자 또는 역할이 관리자를 변경하는 경우 의도한 보안 아키텍처 및 표준에서 벗어나 구성 드리프트가 발생할 수 있습니다. 보안 표준은 시간이 지남에 따라 변경 될 수도 있습니다. 보안 담당자는 지속적으로 일관되게 새로운 위험을 감지하고, 완화 옵션을 평가하고, 보안 아키텍처를 업데이트하여 잠재적인 위반을 방지해야 합니다. 여러 퍼블릭 클라우드 및 프라이빗 인프라 환경에 걸친 보안 관리는 부담이 될 수 있습니다.

클라우드용 Defender 앱CSPM(클라우드 보안 태세 관리) 기능이 있는 CASB(클라우드 액세스 보안 브로커) 플랫폼입니다. 클라우드용 Defender 앱은 여러 클라우드 서비스 및 애플리케이션에 연결하여 보안 로그를 수집하고, 사용자 동작을 모니터링하며, 플랫폼 자체에서 제공하지 않을 수 있는 제한을 적용할 수 있습니다.

Defender for Cloud Apps는 AWS와 통합하여 즉각적인 이점을 얻을 수 있는 여러 기능을 제공합니다.

  • Defender for Cloud Apps 앱 커넥터는 UBA를 비롯한 여러 AWS API를 사용하여 AWS 플랫폼에서 구성 문제 및 위협을 검색합니다.
  • AWS Access Controls는 애플리케이션, 디바이스, IP 주소, 위치, 등록된 ISP 및 구체적인 사용자 특성에 따라 로그인 제한을 적용할 수 있습니다.
  • AWS에 대한 세션 제어는 Microsoft Defender 위협 인텔리전스 또는 실시간 콘텐츠 검사에 따라 잠재적인 맬웨어 업로드 또는 다운로드를 차단합니다.
  • 또한 세션 제어는 실시간 콘텐츠 검사 및 중요한 데이터 검색을 사용하여 잘라내기, 복사, 붙여넣기 또는 인쇄 작업을 방지하는 DLP(데이터 손실 방지) 규칙을 적용할 수도 있습니다.

클라우드용 Defender 앱은 독립 실행형 또는 Microsoft Entra ID P2를 포함하는 Microsoft Enterprise Mobility + Security E5의 일부로 사용할 수 있습니다. 가격 책정 및 라이선싱 정보는 Enterprise Mobility + Security 가격 책정 옵션을 참조하세요.

CSPM 및 CWPP(CWP 플랫폼)을 위한 클라우드용 Defender

클라우드 워크로드가 일반적으로 여러 클라우드 플랫폼에 걸쳐 있는 경우 클라우드 보안 서비스도 동일한 작업을 수행해야 합니다. 클라우드용 Microsoft Defender는 Azure, AWS 및 GCP(Google Cloud Platform)의 워크로드를 보호합니다.

클라우드용 Defender는 AWS 계정에 에이전트 없는 연결을 제공합니다. 클라우드용 Defender는 AWS 리소스를 보호하는 계획도 제공합니다.

고급 위협 탐지를 위한 Microsoft Sentinel

위협은 다양한 디바이스, 애플리케이션, 위치 및 사용자 유형에서 비롯될 수 있습니다. 사후 검토는 너무 늦을 수 있으므로 데이터 손실 방지를 위해서는 업로드 또는 다운로드 중에 콘텐츠를 검사해야 합니다. AWS에는 디바이스 및 애플리케이션 관리, 위험 기반 조건부 액세스, 세션 기반 컨트롤 또는 인라인 UBA에 대한 네이티브 기능이 없습니다.

보안 솔루션은 리소스가 다중 클라우드, 온-프레미스 또는 하이브리드 환경에 있는지 여부에 관계없이 복잡성을 줄이고 포괄적인 보호를 제공하는 것이 중요합니다. 클라우드용 Defender는 CSPM 및 CWP를 제공합니다. 클라우드용 Defender는 전반적인 보안 태세를 강화하는 데 도움이 되도록 AWS 전체의 구성 약점을 식별합니다. 또한 AWS EC2의 Amazon EKS Linux 클러스터, AWS EC2 인스턴스 및 SQL 서버에 대한 위협 방지 기능을 제공합니다.

Microsoft Sentinel은 최신 보안 작업을 위해 위협 탐지 및 대응 자동화를 중앙 집중화하고 조정하는 SIEM(보안 정보 및 이벤트 관리)SOAR(보안 오케스트레이션, 자동화 및 대응) 솔루션입니다. Microsoft Sentinel은 AWS 계정을 모니터링하여 여러 방화벽, 네트워크 디바이스 및 서버에서 이벤트를 비교할 수 있습니다. Microsoft Sentinel은 모니터링 데이터를 위협 인텔리전스, 분석 규칙 및 기계 학습과 결합하여 고급 공격 기술을 검색하고 대응합니다.

AWS 및 클라우드용 Defender 앱은 Microsoft Sentinel과 연결할 수 있습니다. 그런 다음, 클라우드용 Defender 앱 경고를 확인하고 여러 Defender 위협 인텔리전스 피드를 사용하는 추가 위협 검사를 실행할 수 있습니다. Microsoft Sentinel은 클라우드용 Defender 앱 외부에 있는 조정된 응답을 시작할 수 있습니다. 또한 Microsoft Sentinel은 ITSM(IT 서비스 관리) 솔루션과 통합하고 규정 준수를 위해 장기적으로 데이터를 유지할 수 있습니다.

시나리오 정보

Microsoft는 AWS 계정 및 환경에 보안을 제공하고 보호하는 데 도움이 되는 몇 가지 보안 솔루션을 제공합니다.

다른 Microsoft 보안 구성 요소는 MICROSOFT Entra ID와 통합하여 AWS 계정에 대한 추가 보안을 제공할 수 있습니다.

  • 클라우드용 Defender 앱은 세션 보호 및 사용자 동작 모니터링을 사용하여 Microsoft Entra ID를 백업합니다.
  • 클라우드용 Defender는 AWS 워크로드에 위협 방지를 제공합니다. 또한 AWS 환경에 대한 보안을 사전에 강화하는 데 도움이 되며 에이전트 없는 접근 방식을 사용하여 해당 환경에 연결합니다.
  • Microsoft Sentinel은 Microsoft Entra ID 및 클라우드용 Defender 앱과 통합되어 AWS 환경에 대한 위협을 감지하고 자동으로 대응합니다.

이러한 Microsoft 보안 솔루션은 확장 가능하며 여러 수준의 보호를 제공합니다. 조직은 현재 및 미래의 AWS 배포를 보호하는 전체 보안 아키텍처에 대해 다양한 유형의 보호와 함께 이러한 솔루션 중 하나 이상을 구현할 수 있습니다.

잠재적인 사용 사례

이 문서에서는 AWS ID 설계자, 관리자 및 보안 분석가에게 몇 가지 Microsoft 보안 솔루션을 배포하기 위한 즉각적인 인사이트와 자세한 지침을 제공합니다.

권장 사항

보안 솔루션을 개발할 때는 다음 사항에 유의하세요.

보안 권장 사항

다음 원칙과 지침은 모든 클라우드 보안 솔루션에 있어서 중요합니다.

  • 조직에서 클라우드 환경에 대한 사용자 및 프로그래밍 방식 액세스를 모니터링, 검색 및 자동으로 보호할 수 있는지 확인합니다.
  • ID, 권한 거버넌스 및 제어를 보장하기 위해 현재 계정을 지속적으로 검토합니다.
  • 최소 권한 및 제로 트러스트 원칙을 따릅니다. 사용자가 신뢰할 수 있는 디바이스 및 알려진 위치에서 필요한 특정 리소스에만 액세스할 수 있는지 확인합니다. 모든 관리자와 개발자가 수행하는 역할에 필요한 권한만 제공하도록 권한을 줄입니다. 정기적으로 검토합니다.
  • 특히 권한 상승 또는 공격 지속성을 위한 기회를 제공하는 경우 플랫폼 구성 변경을 지속적으로 모니터링합니다.
  • 콘텐츠를 적극적으로 검사하고 제어하여 무단 데이터 반출을 방지합니다.
  • 추가 비용 없이 보안을 강화할 수 있는 Microsoft Entra ID P2와 같이 이미 소유하고 있을 수 있는 솔루션을 활용합니다.

기본 AWS 계정 보안

AWS 계정 및 리소스에 대한 기본 보안 예방 조치를 보장하려면 다음을 수행합니다.

  • AWS 계정 및 리소스 보안을 위한 모범 사례에서 AWS 보안 참고 자료를 검토합니다.
  • AWS 관리 콘솔을 통해 모든 데이터 전송을 적극적으로 검사하여 맬웨어 및 기타 악성 콘텐츠를 업로드하고 다운로드할 위험을 줄입니다. 웹 서버 또는 데이터베이스와 같은 AWS 플랫폼 내의 리소스에 직접 업로드하거나 다운로드하는 콘텐츠는 추가적인 보호가 필요할 수 있습니다.
  • 다음을 비롯한 다른 리소스에 대한 액세스를 보호하는 것이 좋습니다.
    • AWS 계정 내에서 만든 리소스
    • Windows Server, Linux Server 또는 컨테이너와 같은 특정 워크로드 플랫폼
    • 관리자와 개발자가 AWS 관리 콘솔에 액세스하는 데 사용하는 디바이스

시나리오 배포

다음 섹션의 단계를 수행하여 보안 솔루션을 구현합니다.

계획 및 준비

Azure 보안 솔루션 배포를 준비하려면 현재 AWS 및 Microsoft Entra 계정 정보를 검토하고 기록합니다. 배포된 AD 계정이 둘 이상이면 각 계정에 대해 이러한 단계를 반복합니다.

  1. AWS 청구 관리 콘솔에서 다음과 같은 현재 AWS 계정 정보를 기록합니다.

    • 고유 식별자인 AWS 계정 ID
    • 계정 이름 또는 루트 사용자
    • 결제 방법(신용 카드 또는 회사 청구 계약에 할당되었는지 여부)
    • AWS 계정 정보에 액세스할 수 있는 대체 연락처
    • 긴급 액세스를 위해 안전하게 업데이트되고 기록되는 보안 질문
    • 데이터 보안 정책을 준수하기 위해 사용하거나 사용하지 않도록 설정된 AWS 지역

  2. Azure Portal에서 Microsoft Entra 테넌트:

    • 테넌트 정보를 평가하여 테넌트에 Microsoft Entra ID P1 또는 P2 라이선스가 있는지 확인합니다. P2 라이선스는 고급 Microsoft Entra ID 관리 기능을 제공합니다.
    • 엔터프라이즈 애플리케이션을 평가하여 홈페이지 URL 열의 http://aws.amazon.com/에 표시된 것처럼 기존 애플리케이션이 AWS 애플리케이션 유형을 사용하는지 확인합니다.

클라우드용 Defender 앱 배포

최신 ID 및 액세스 관리에 필요한 중앙 관리 및 강력한 인증을 배포한 후에는 클라우드용 Defender 앱을 구현하여 다음을 수행할 수 있습니다.

  • 보안 데이터를 수집하고 AWS 계정에 대한 위협 탐지를 수행합니다.
  • 위험을 완화하고 데이터 손실을 방지하기 위해 고급 컨트롤을 구현합니다.

클라우드용 Defender 앱을 배포하려면 다음을 수행합니다.

  1. AWS용 Defender for Cloud Apps 앱 커넥터를 추가합니다.
  2. AWS 활동에 대한 Defender for Cloud Apps 모니터링 정책을 구성합니다.
  3. AWS에 SSO용 엔터프라이즈 애플리케이션을 만듭니다.
  4. 클라우드용 Defender 앱에서 조건부 액세스 앱 제어 애플리케이션을 만듭니다.
  5. AWS 활동에 대한 Microsoft Entra 세션 정책을 구성합니다.
  6. AWS용 Defender for Cloud Apps 정책을 테스트합니다.

AWS 앱 커넥터를 추가합니다.

  1. Defender for Cloud Apps 포털에서 조사를 확장한 다음 연결된 앱을 선택합니다.

  2. 앱 커넥터 페이지의 목록에서 더하기 기호(+)를 선택한 다음, Amazon Web Services를 목록에서 선택합니다.

  3. 커넥터의 고유한 이름을 사용니다. 이름에서 회사의 식별자 및 특정 AWS 계정(예: Contoso-AWS-Account1)

  4. AWS를 클라우드용 Microsoft Defender 앱에 연결의 지침에 따라 적절한 AWS IAM(ID 및 접근 관리) 사용자를 만듭니다.

    1. 제한된 권한에 대한 정책을 정의합니다.
    2. Defender for Cloud Apps 서비스를 대신하여 해당 권한을 사용하는 서비스 계정을 만듭니다.
    3. 앱 커넥터에 자격 증명을 제공합니다.

초기 연결을 설정하는 데 걸리는 시간은 AWS 계정 로그 크기에 따라 달라집니다. 연결이 완료되면 다음과 같이 연결 확인이 표시됩니다.

Screenshot of the Defender for Cloud Apps portal. Information about an AWS connector is visible with a status of Connected.

AWS 활동에 대한 Defender for Cloud Apps 모니터링 정책을 구성합니다.

앱 커넥터를 사용하도록 설정하면 클라우드용 Defender 앱이 정책 구성 작성기에 새 템플릿 및 옵션을 표시합니다. 템플릿에서 직접 정책을 만들고 필요에 맞게 수정할 수 있습니다. 템플릿을 사용하지 않고 정책을 개발할 수도 있습니다.

템플릿을 사용하여 정책을 구현하려면 다음을 수행합니다.

  1. 클라우드용 Defender 앱 왼쪽 탐색 창에서 컨트롤을 확장하고 템플릿을 선택합니다.

    Screenshot of the Defender for Cloud Apps left navigation window with Templates called out.

  2. aws를 검색하고 AWS에 사용 가능한 정책 템플릿을 검토합니다.

    Screenshot of AWS template data on the Policy templates page. A plus sign next to a template and the Name box, which contains aws, are called out.

  3. 템플릿을 사용하려면 템플릿 항목의 오른쪽에 있는 더하기 기호(+)를 선택합니다.

  4. 각 정책 유형에는 다양한 옵션이 있습니다. 구성 설정을 검토하고 정책을 저장합니다. 각 템플릿에 대해 이 단계를 반복합니다.

    Screenshot of the Create file policy page, with various options visible.

    파일 정책을 사용하려면 클라우드용 Defender 앱 설정에서 파일 모니터링 설정을 사용하도록 설정해야 합니다.

    Screenshot of the File section of the Defender for Cloud Apps settings page. The Enable file monitoring option is selected.

Defender for Cloud Apps에서 경고를 감지하면 Defender for Cloud Apps 포털의 경고 페이지에 표시됩니다.

Screenshot of the Defender for Cloud Apps portal. Six alerts are visible.

AWS에 SSO용 엔터프라이즈 애플리케이션 만들기

자습서의 지침에 따라 AWS Single Sign-On과 Microsoft Entra SSO(Single Sign-On ) 통합을 수행하여 SSO에서 AWS로 엔터프라이즈 애플리케이션을 만듭니다. 절차 요약은 다음과 같습니다.

  1. 갤러리에서 AWS SSO를 추가합니다.
  2. AWS SSO에 대한 Microsoft Entra SSO 구성 및 테스트:
    1. Microsoft Entra SSO를 구성합니다.
    2. AWS SSO를 구성합니다.
    3. AWS SSO 테스트 사용자를 만듭니다.
    4. SSO를 테스트합니다.

클라우드용 Defender 앱에서 조건부 액세스 앱 제어 앱 만들기

  1. 클라우드용 Defender 앱 포털로 이동하여 조사를 선택한 다음 연결된 앱을 선택합니다.

    Screenshot of the Defender for Cloud Apps portal. On the left bar, Investigate is called out. In the Investigate menu, Connected apps is called out.

  2. 조건부 액세스 앱 제어 앱을 선택한 다음, 추가를 선택합니다.

    Screenshot of the Connected apps page in the Defender for Cloud Apps portal. Conditional Access App Control Apps and Add are called out.

  3. 앱 검색 상자에 Amazon Web Services를 입력한 다음, 애플리케이션을 선택합니다. 시작 마법사를 선택합니다.

    Screenshot of the Add a SAML application with your identity provider page. A Start wizard button is visible.

  4. 수동으로 데이터 채우기를 선택합니다. 다음 스크린샷에 표시된 Assertion Consumer Service URL 값을 입력하고 다음을 선택합니다.

    Screenshot of the Add a SAML application with your identity provider page. A URL box and an option for manually entering data are visible.

  5. 다음 페이지에서 외부 구성 단계를 무시합니다. 다음을 선택합니다.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, three steps are visible.

  6. 수동으로 데이터 채우기를 선택한 다음, 다음 단계를 수행하여 데이터를 입력합니다.

    1. Single Sign-On 서비스 URL에서 AWS용으로 만든 엔터프라이즈 애플리케이션의 로그인 URL 값을 입력합니다.
    2. ID 공급자의 SAML 인증서 업로드에서 찾아보기를 선택합니다.
    3. 만든 엔터프라이즈 애플리케이션에 대한 인증서를 찾습니다.
    4. 로컬 디바이스에 인증서를 다운로드한 다음 마법사에 업로드합니다.
    5. 다음을 선택합니다.

    Screenshot that shows the SSO service URL and certificate boxes. Arrows indicate where to find values for those boxes in other screens.

  7. 다음 페이지에서 외부 구성 단계를 무시합니다. 다음을 선택합니다.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, four steps are visible.

  8. 다음 페이지에서 외부 구성 단계를 무시합니다. 마침을 선택합니다.

    Screenshot of the Add a SAML application with your identity provider page. Under External configuration, five steps are visible.

  9. 다음 페이지에서 설정 확인 단계를 무시합니다. 닫기를 선택합니다.

    Screenshot of the Add a SAML application with your identity provider page. Under Verify your settings, two steps are visible.

AWS 활동에 대한 Microsoft Entra 세션 정책 구성

세션 정책은 Microsoft Entra 조건부 액세스 정책과 클라우드용 Defender 앱의 역방향 프록시 기능의 강력한 조합입니다. 이러한 정책은 의심스러운 동작 실시간 모니터링 및 제어를 제공합니다.

  1. Microsoft Entra ID에서 다음 설정을 사용하여 새 조건부 액세스 정책을 만듭니다.

    • 이름에서 AWS 콘솔 – 세션 제어를 입력합니다.
    • 사용자 및 그룹 아래에서 이전에 만든 두 개의 역할 그룹을 선택합니다.
      • AWS-Account1-Administrators
      • AWS-Account1-Developers
    • 클라우드 앱 또는 작업에서 이전에 만든 엔터프라이즈 애플리케이션(예: Contoso-AWS-Account 1)을 선택합니다.
    • 세션에서 조건부 액세스 앱 제어 사용을 선택합니다.

  2. 정책 사용에서 켜기를 선택합니다.

    Screenshot of the AWS Console - Session Controls page with settings configured as described in the article and the Enable policy section called out.

  3. 만들기를 실행합니다.

Microsoft Entra 조건부 액세스 정책을 만든 후 AWS 세션 중에 사용자 동작을 제어하도록 클라우드용 Defender 앱 세션 정책을 설정합니다.

  1. Defender for Cloud Apps 포털에서 제어를 확장하고 정책을 선택합니다.

  2. 정책 페이지에서 정책 만들기를 선택한 다음 목록에서 세션 정책을 선택합니다.

    Screenshot of the Defender for Cloud Apps portal. Create policy is called out. In its list, Session policy is called out.

  3. 세션 정책 만들기 페이지의 정책 템플릿에서 잠재적인 맬웨어 업로드 차단(Microsoft 위협 인텔리전스 기반)을 선택합니다.

  4. 다음의 모든 항목과 일치하는 활동에서 , 등호Amazon Web Services를 포함하도록 활동 필터를 수정합니다. 기본 디바이스 선택을 제거합니다.

    Screenshot of the Activity source section of the Create session policy page. A filter rule is visible for AWS apps.

  5. 다른 설정을 검토한 다음 만들기를 선택합니다.

AWS용 Defender for Cloud Apps 정책 테스트

모든 정책을 정기적으로 테스트하여 여전히 효과적이고 적절한지 확인합니다. 다음은 몇 가지 권장 사항입니다.

  • IAM 정책 변경: 이 정책은 AWS IAM 내에서 설정을 수정하려고 할 때마다 트리거됩니다. 예를 들어 이 배포 섹션의 뒷부분에 있는 절차에 따라 새 IAM 정책 및 계정을 만들면 경고가 표시됩니다.

  • 콘솔 로그인 실패: 테스트 계정 중 하나에 로그인 시도가 실패할 때 이 정책을 트리거됩니다. 경고 세부 정보가 Azure 지역 데이터 센터 중 하나에서 시도가 이루졌음을 보여 줍니다.

  • S3 버킷 활동 정책: 새 AWS S3 스토리지 계정을 만들고 공개적으로 사용할 수 있도록 설정하려고 시도하면 이 정책이 트리거됩니다.

  • 맬웨어 검색 정책: 세션 정책으로 맬웨어 검색을 구성한 경우 다음 단계에 따라 테스트할 수 있습니다.

    1. EICAR(European Institute for Computer Anti-Virus Research)에서 안전한 테스트 파일을 다운로드할 수 있습니다.
    2. 해당 파일을 AWS S3 스토리지 계정에 업로드해 보세요.

    이 정책은 업로드 시도를 즉시 차단하고 경고는 클라우드용 Defender 앱 포털에 표시됩니다.

클라우드용 Defender 배포

네이티브 클라우드 커넥터를 사용하여 AWS 계정을 클라우드용 Defender에 연결할 수 있습니다. 커넥터는 AWS 계정에 에이전트 없는 연결을 제공합니다. 이 연결을 사용하여 CSPM 권장 사항을 수집할 수 있습니다. 클라우드용 Defender 계획을 사용하면 CWP를 사용하여 AWS 리소스를 보호할 수 있습니다.

Screenshot of the Defender for Cloud dashboard. Metrics and charts are visible that show the secure score, inventory health, and other information.

AWS 기반 리소스를 보호하려면 다음 섹션에서 자세히 설명하는 다음 단계를 수행합니다.

  1. AWS 계정을 연결합니다.
  2. AWS를 모니터링합니다.

AWS 계정 연결

네이티브 커넥터를 사용하여 AWS 계정을 클라우드용 Defender에 연결하려면 다음 단계를 수행합니다.

  1. AWS 계정을 연결하기 위한 필수 구성 요소를 검토합니다. 계속 진행하기 전에 완료해야 합니다.

  2. 클래식 커넥터가 있는 경우 클래식 커넥터 제거의 단계에 따라 제거합니다. 클래식 커넥터와 네이티브 커넥터를 모두 사용하면 중복된 권장 사항이 생성될 수 있습니다.

  3. Azure Portal에 로그인합니다.

  4. 클라우드용 Microsoft Defender를 선택한 다음 환경 설정을 선택합니다.

  5. 환경 추가>Amazon Web Services.를 선택합니다.

    Screenshot of the Defender for Cloud Environment settings page. Under Add environment, Amazon Web Services is called out.

  6. 커넥터 리소스를 저장할 위치를 포함하여 AWS 계정 세부 정보를 입력합니다. 필요에 따라 관리 계정을 선택하여 관리 계정에 대한 커넥터를 만듭니다. 제공된 관리 계정에서 검색된 각 멤버 계정에 대해 커넥터가 만들어집니다. 새로 온보딩된 모든 계정에 대해 자동 프로비저닝이 설정됩니다.

    Screenshot of the Add account page in the Defender for Cloud portal. Fields are visible for the connector name, location, and other data.

  7. 다음: 플랜 선택을 선택합니다.

    Screenshot of the Select plans section of the Add account page. Plans are visible for security posture management, servers, and containers.

  8. 기본적으로 서버 계획은 사용하도록 설정되어 있습니다. 이 설정은 서버용 Defender 범위를 AWS EC2로 확장하기 위해 필요합니다. Azure Arc에 대한 네트워크 요구 사항을 충족했는지 확인합니다. 필요에 따라 구성을 편집하려면 구성을 선택합니다.

  9. 기본적으로 컨테이너 계획은 사용하도록 설정되어 있습니다. 이는 컨테이너용 Defender가 AWS EKS 클러스터를 보호하기 위해 필요합니다. 컨테이너용 Defender 플랜의 네트워크 요구 사항이 충족되었는지 확인합니다. 필요에 따라 구성을 편집하려면 구성을 선택합니다. 이 구성을 사용하지 않도록 설정하면 컨트롤 플레인에 대한 위협 탐지 기능이 비활성화됩니다. 기능 목록을 보려면 컨테이너용 Defender 기능 가용성을 참조하세요.

  10. 기본적으로 데이터베이스 계획은 사용하도록 설정되어 있습니다. 이는 SQL용 Defender의 적용 범위를 AWS EC2 및 SQL Server용 RDS Custom으로 확장하는 데 필요합니다. 필요에 따라 구성을 편집하려면 구성을 선택합니다. 기본 설정을 사용하는 것이 좋습니다.

  11. 다음: 액세스 구성을 선택합니다.

  12. CloudFormation 템플릿을 다운로드합니다.

  13. 화면의 지침에 따라 다운로드한 CloudFormation 템플릿을 사용하여 AWS에서 스택을 만듭니다. 관리 계정을 온보딩하는 경우 Stack 및 StackSet으로 CloudFormation 템플릿을 실행해야 합니다. 커넥터는 온보딩 후 24시간 이내에 멤버 계정에 대해 만들어집니다.

  14. 다음: 검토 및 생성을 선택합니다.

  15. 만들기를 선택합니다.

클라우드용 Defender는 AWS 리소스 검사를 즉시 시작합니다. 몇 시간 내에 보안 권장 사항이 표시됩니다. 클라우드용 Defender가 AWS 리소스에 대해 제공할 수 있는 모든 권장 사항의 목록은 AWS 리소스 보안 권장 사항 - 참조 가이드를 참조하세요.

AWS 리소스 모니터링

클라우드용 Defender 보안 권장 사항 페이지에는 AWS 리소스가 표시됩니다. 환경 필터를 사용하여 Azure, AWS 및 GCP 리소스에 대한 권장 사항을 함께 보는 등 클라우드용 Defender의 다중 클라우드 기능을 활용할 수 있습니다.

리소스 종류별로 리소스에 대한 모든 활성 권장 사항을 보려면 클라우드용 Defender의 자산 인벤토리 페이지를 사용합니다. 관심 있는 AWS 리소스 유형을 표시하도록 필터를 설정합니다.

Screenshot of the Defender for Cloud Inventory page. A table lists resources and their basic data. A filter for the resource type is also visible.

Microsoft Sentinel 배포

AWS 계정과 클라우드용 Defender 앱을 Microsoft Sentinel에 연결하면 여러 방화벽, 네트워크 디바이스 및 서버에서 이벤트를 비교하는 모니터링 기능을 사용할 수 있습니다.

Microsoft Sentinel AWS 커넥터 사용

AWS용 Microsoft Sentinel 커넥터를 사용하도록 설정하면 AWS 인시던트 및 데이터 수집을 모니터링할 수 있습니다.

Defender for Cloud Apps 구성을 사용할 때와 마찬가지로 이 연결에서도 자격 증명 및 권한을 제공하도록 AWS IAM을 구성해야 합니다.

  1. AWS IAM에서 Microsoft Sentinel을 AWS CloudTrail에 연결하는 단계를 따릅니다.

  2. Azure Portal 구성을 완료하려면 Microsoft Sentinel>데이터 커넥터에서 Amazon Web Services 커넥터를 선택합니다.

    Screenshot of the Microsoft Sentinel Data connectors page that shows the Amazon Web Services connector.

  3. 커넥터 페이지 열기를 선택합니다.

  4. 구성에서 추가할 역할 필드에 AWS IAM 구성의 역할 ARN을 입력하고 추가를 선택합니다.

  5. 다음 단계를 선택하고 모니터링할 AWS 네트워크 활동AWS 사용자 활동을 선택합니다.

  6. 관련 분석 템플릿에서 사용 설정하려는 AWS 분석 템플릿 옆에 있는 규칙 만들기를 선택합니다.

  7. 각 규칙을 설정하고 만들기를 선택합니다.

다음 테이블에서는 AWS 엔터티 동작 및 위협 지표를 확인하기 위해 사용 가능한 규칙 템플릿을 보여 줍니다. 규칙 이름은 해당 용도를 설명하고, 잠재적인 데이터 원본은 각 규칙에서 사용할 수 있는 데이터 원본을 나열합니다.

분석 템플릿 이름 데이터 원본
알려진 IRIDIUM IP DNS, Azure Monitor, Cisco ASA, Palo Alto Networks, Microsoft Entra ID, Azure Activity, AWS
전체 관리 정책을 만든 다음 역할, 사용자 또는 그룹에 연결함 AWS
AzureAD 로그온에 실패했지만 AWS 콘솔에 성공적으로 로그온됨 Microsoft Entra ID, AWS
AWS 콘솔 로그온이 실패했지만 AzureAD에 성공적으로 로그온됨 Microsoft Entra ID, AWS
사용자에 대해 다단계 인증 사용 안 함 Microsoft Entra ID, AWS
AWS 보안 그룹 수신 및 송신 설정에 대한 변경 내용 AWS
AWS 자격 증명 남용 또는 하이재킹 모니터링 AWS
AWS Elastic Load Balancer 보안 그룹에 대한 변경 내용 AWS
Amazon VPC 설정에 대한 변경 내용 AWS
지난 24시간 동안 관찰된 새 UserAgent Microsoft 365, Azure Monitor, AWS
다단계 인증 없이 AWS 관리 콘솔에 로그인 AWS
인터넷 연결 AWS RDS 데이터베이스 인스턴스에 대한 변경 내용 AWS
AWS CloudTrail 로그에 대한 변경 내용 AWS
Defender 위협 인텔리전스가 IP 엔터티를 AWS CloudTrail에 매핑 Defender 위협 인텔리전스 플랫폼, AWS

사용 가능한 템플릿에는 커넥터 세부 정보 페이지에 IN USE 표시가 있습니다.

Screenshot of the connector details page. A table lists templates that are in use and the severity, rule type, data sources, and tactics for each one.

AWS 인시던트 모니터링

Microsoft Sentinel은 사용자가 사용 설정한 분석 및 검색을 기반으로 인시던트가 생성됩니다. 각 인시던트에는 하나 이상의 이벤트가 포함될 수 있으므로 잠재적인 위협을 감지하고 대응하는 데 필요한 전체 조사 수가 줄어듭니다.

Microsoft Sentinel은 클라우드용 Defender 앱이 생성하는 인시던트(연결된 경우) 및 Microsoft Sentinel에서 만드는 인시던트를 보여 줍니다. 제품 이름 열에는 인시던트 원본이 표시됩니다.

Screenshot of the Microsoft Sentinel Incidents page. A table lists basic data for incidents. A Product names column contains the incident source.

데이터 수집 검사

커넥터 세부 정보를 정기적으로 확인하여 데이터가 Microsoft Sentinel에 지속적으로 수집되고 있는지 검사합니다. 다음 차트에는 새 연결이 표시됩니다.

Screenshot of AWS connector data. A line chart shows the amount of data the connector receives, with initial values at zero and a spike at the end.

커넥터가 데이터 수집을 중지하고 꺾은선형 차트 값이 떨어지는 경우 AWS 계정에 연결하는 데 사용하는 자격 증명을 확인합니다. 또한 AWS CloudTrail이 여전히 이벤트를 수집할 수 있는지 확인합니다.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 이 문서를 처음에 작성한 기여자는 다음과 같습니다.

보안 주체 작성자:

비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.

다음 단계