클라우드용 Defender의 새로운 기능을 보관하려고 하나요?

  • 아티클

기본 클라우드용 Defender의 새로운 기능 릴리스 정보 페이지에는 지난 6개월 동안의 업데이트가 포함되어 있고 이 페이지에는 이전 항목이 포함되어 있습니다.

이 페이지에서는 다음에 대한 정보를 제공합니다.

  • 새로운 기능
  • 버그 수정
  • 더 이상 사용되지 않는 기능

2023년 9월

날짜 엽데이트
9월 27일 공개 미리 보기로 제공되는 데이터 보안 대시보드
9월 21일 미리 보기 릴리스: 새로운 Virtual Machines의 SQL Server용 자동 프로비전 프로세스 플랜
9월 20일 클라우드용 Defender의 Azure DevOps 경고에 대한 GitHub Advanced Security
9월 11일 이제 API용 Defender 권장 사항에 대해 제외 기능 사용 가능
9월 11일 API용 Defender 검색에 대한 샘플 경고 만들기
9월 6일 미리 보기 릴리스: 이제 Microsoft Defender 취약성 관리가 제공하는 컨테이너 취약성 평가에서 풀(pull) 시 검사 지원
9월 6일 규정 준수에서 CIS(Center for Internet Security) 표준의 명명 형식이 업데이트됨
9월 5일 PaaS 데이터베이스에 대한 중요한 데이터 검색(미리 보기)
9월 1일 GA(일반 공급): 스토리지용 Defender의 맬웨어 검사

공개 미리 보기에서 사용 가능한 데이터 보안 대시보드

2023년 9월 27일

데이터 보안 대시보드는 이제 Defender CSPM 플랜의 일부로 공개 미리 보기에서 사용할 수 있습니다. 데이터 보안 대시보드는 하이브리드 클라우드 워크로드 전반에 걸쳐 데이터에 대한 경고 및 잠재적 공격 경로의 우선 순위를 지정하여 민감한 데이터에 대한 심각한 위험을 조명하는 대화형 데이터 중심 대시보드입니다. 데이터 보안 대시보드에 대해 자세히 알아보세요.

미리 보기 릴리스: 새로운 Virtual Machines의 SQL Server용 자동 프로비전 프로세스 플랜

2023년 9월 21일

MMA(Microsoft Monitoring Agent)는 2024년 8월에 더 이상 사용되지 않습니다. 클라우드용 Defender는 MMA를 SQL Server 대상 Azure Monitoring Agent 자동 프로비저닝 프로세스의 릴리스로 대체하여 전략을 업데이트했습니다.

미리 보기 중에 Azure Monitor Agent(미리 보기) 옵션과 함께 MMA 자동 프로비저닝 프로세스를 사용하는 고객은 Virtual Machines의 SQL Server용 Azure Monitoring Agent(미리 보기) 자동 프로비전 프로세스로 마이그레이션해야 합니다. 마이그레이션 프로세스는 원활하며 모든 머신에 대한 지속적인 보호를 제공합니다.

자세한 내용은 SQL Server 대상 Azure Monitoring Agent 자동 프로비저닝 프로세스로 마이그레이션을 참조하세요.

클라우드용 Defender의 Azure DevOps 경고에 대한 GitHub Advanced Security

2023년 9월 20일

이제 클라우드용 Defender에서 CodeQL, 비밀 및 종속성과 관련된 Azure DevOps(GHAzDO) 경고에 대한 GitHub Advanced Security를 볼 수 있습니다. 결과는 DevOps 페이지 및 권장 사항에 표시됩니다. 이러한 결과를 보려면 GHAzDO 사용 리포지토리를 클라우드용 Defender에 온보딩합니다.

Azure DevOps용 GitHub Advanced Security에 대해 자세히 알아보세요.

이제 API용 Defender 권장 사항에 대해 제외 기능 사용 가능

2023년 9월 11일

이제 다음 API용 Defender 보안 권장 사항에 대한 권장 사항을 제외할 수 있습니다.

권장 설명 및 관련 정책 심각도
(미리 보기) 사용하지 않는 API 엔드포인트는 사용하지 않도록 설정되고 Azure API Management 서비스에서 제거되어야 함 보안 모범 사례로, 30일 동안 트래픽을 수신하지 않은 API 엔드포인트는 사용되지 않는 것으로 간주되며 Azure API Management 서비스에서 제거되어야 합니다. 사용하지 않는 API 엔드포인트를 유지하면 보안 위험이 발생할 수 있습니다. 이러한 API는 Azure API Management 서비스에서 사용되지 않지만 실수로 활성 상태로 남겨진 API일 수 있습니다. 이러한 API는 일반적으로 최신 보안 적용을 받지 못합니다. 낮음
(미리 보기): Azure API Management의 API 엔드포인트를 인증해야 함 Azure API Management 내에 게시된 API 엔드포인트는 보안 위험을 최소화하기 위해 인증을 적용해야 합니다. 인증 메커니즘이 잘못 구현되거나 누락된 경우가 있습니다. 이를 통해 공격자는 구현 결함을 악용하고 데이터에 액세스할 수 있습니다. Azure API Management 게시된 API의 경우 이 권장 사항은 Azure API Management 내에 구성된 구독 키, JWT, 클라이언트 인증서를 통한 인증 실행을 평가합니다. API 호출 중에 이러한 인증 메커니즘 중 어느 것도 실행되지 않으면 API가 해당 권장 사항을 수신합니다. 높음

클라우드용 Defender의 권장 사항 제외에 대해 자세히 알아보세요.

API용 Defender 검색에 대한 샘플 경고 만들기

2023년 9월 11일

이제 API용 Defender 공개 미리 보기의 일부로 릴리스된 보안 검색에 대한 샘플 경고를 생성할 수 있습니다. 클라우드용 Defender에서 샘플 경고를 생성하는 방법에 대해 자세히 알아보세요.

미리 보기 릴리스: 이제 Microsoft Defender 취약성 관리가 제공하는 컨테이너 취약성 평가에서 풀(pull) 시 검사 지원

2023년 9월 6일

이제 MDVM(Microsoft Defender 취약성 관리)에서 제공하는 컨테이너 취약성 평가는 ACR에서 가져온 이미지를 검사하는 추가 트리거를 지원합니다. 새로 추가된 이 트리거는 지난 90일 동안 ACR로 푸시된 기존 트리거 검사 이미지와 AKS에서 현재 실행 중인 이미지 외에도 활성 이미지에 대한 추가 적용 범위를 제공합니다.

새로운 트리거는 오늘부터 출시되며 9월 말까지 모든 고객에게 제공될 예정입니다.

자세한 내용은 MDVM에서 제공하는 컨테이너 취약성 평가를 참조하세요.

규정 준수에서 CIS(Center for Internet Security) 표준의 명명 형식이 업데이트됨

2023년 9월 6일

규정 준수 대시보드에서 CIS(Center for Internet Security) 기초 벤치마크의 명명 형식이 [Cloud] CIS [version number]에서 CIS [Cloud] Foundations v[version number]로 변경됩니다. 다음 표를 참조하세요.

현재 이름 새 이름
Azure CIS 1.1.0 CIS Azure Foundations v1.1.0
Azure CIS 1.3.0 CIS Azure Foundations v1.3.0
Azure CIS 1.4.0 CIS Azure Foundations v1.4.0
AWS CIS 1.2.0 CIS AWS Foundations v1.2.0
AWS CIS 1.5.0 CIS AWS Foundations v1.5.0
GCP CIS 1.1.0 CIS GCP Foundations v1.1.0
GCP CIS 1.2.0 CIS GCP Foundations v1.2.0

규정 준수를 개선하는 방법을 알아보세요.

PaaS 데이터베이스에 대한 중요한 데이터 검색(미리 보기)

2023년 9월 5일

이제 PaaS 데이터베이스(모든 유형의 Azure SQL Database 및 Amazon RDS 인스턴스)에서 원활하게 중요한 데이터를 검색하기 위한 데이터 인식 보안 태세 기능이 공개 미리 보기로 제공됩니다. 이 공개 미리 보기를 사용하면 중요한 데이터가 어디에 있든 중요한 데이터와 해당 데이터베이스에 있는 데이터 유형에 대한 맵을 만들 수 있습니다.

Azure 및 AWS 데이터베이스에 대한 중요한 데이터 검색은 클라우드 개체 스토리지 리소스(Azure Blob Storage, AWS S3 버킷, GCP 스토리지 버킷)에 대해 이미 공개적으로 사용 가능한 공유 분류 및 구성에 추가되며 단일 구성 및 사용 설정 환경을 제공합니다.

데이터베이스는 매주 검사됩니다. sensitive data discovery를 사용하도록 설정하면 검색이 24시간 이내에 실행됩니다. 결과는 클라우드 보안 탐색기에서 확인하거나 중요한 데이터가 포함된 관리형 데이터베이스에 대한 새로운 공격 경로를 검토하여 확인할 수 있습니다.

데이터베이스에 대한 데이터 인식 보안 태세는 Defender CSPM 계획을 통해 사용할 수 있으며 sensitive data discovery 옵션을 사용하도록 설정한 구독에서는 자동으로 사용하도록 설정됩니다.

다음 문서에서 데이터 인식 보안 태세에 대해 자세히 알아볼 수 있습니다.

GA(일반 공급): 스토리지용 Defender의 맬웨어 검사

2023년 9월 1일

이제 맬웨어 검사가 스토리지용 Defender에 대한 추가 기능으로 일반 공급(GA)됩니다. 스토리지용 Defender의 맬웨어 검사는 Microsoft Defender 바이러스 백신 기능을 통해 업로드된 콘텐츠에 대한 전체 맬웨어 검사를 거의 실시간으로 수행하여 악성 콘텐츠로부터 스토리지 계정을 보호하는 데 도움이 됩니다. 신뢰할 수 없는 콘텐츠를 처리하기 위한 보안 및 규정 준수 요구 사항을 충족하도록 설계되었습니다. 맬웨어 검사 기능은 대규모 설정이 가능하며 대규모 응답 자동화를 지원하는 에이전트 없는 SaaS 솔루션입니다.

스토리지용 Defender의 맬웨어 검사에 대해 자세히 알아보세요.

맬웨어 검사는 데이터 사용량 및 예산에 따라 가격이 책정됩니다. 청구는 2023년 9월 3일에 시작됩니다. 자세한 내용은 가격 책정 페이지를 참조하세요.

이전 플랜(현재 “스토리지용 Microsoft Defender(클래식)”로 이름이 변경됨)을 사용 중인 경우 맬웨어 검사를 사용하려면 사전에 새 플랜으로 마이그레이션해야 합니다.

클라우드용 Microsoft Defender 공지 블로그 게시물을 읽어보세요.

2023년 8월

8월의 업데이트는 다음과 같습니다.

날짜 엽데이트
8월 30일 컨테이너용 Defender: Kubernetes용 에이전트 없는 검색
8월 22일 권장 사항 릴리스: 맬웨어 검사 및 중요한 데이터 위협 탐지과 함께 스토리지용 Microsoft Defender를 사용하도록 설정해야 함
8월 17일 클라우드용 Defender 보안 경고의 확장 속성은 활동 로그에서 마스킹됨
8월 15일 Defender CSPM의 GCP 지원 미리 보기 릴리스
8월 7일 서버용 Defender의 새로운 보안 경고 플랜 2: Azure 가상 머신 확장을 악용하는 잠재적 공격 탐지
8월 1일 클라우드용 Defender 플랜에 대한 비즈니스 모델 및 가격 책정 업데이트

컨테이너용 Defender: Kubernetes용 에이전트 없는 검색

2023년 8월 30일

컨테이너용 Defender: Kubernetes용 에이전트 없는 검색을 소개하게 되어 기쁩니다. 이번 릴리스는 컨테이너 보안의 중요한 진전으로, Kubernetes 환경에 대한 고급 인사이트와 포괄적인 인벤토리 기능을 제공합니다. 새로운 컨테이너 제품은 클라우드용 Defender의 상황에 맞는 보안 그래프를 통해 제공됩니다. 이번 최신 업데이트에서 기대할 수 있는 사항은 다음과 같습니다.

  • 에이전트 없는 Kubernetes 검색
  • 포괄적인 인벤토리 기능
  • Kubernetes별 보안 인사이트
  • 클라우드 보안 탐색기를 사용한 향상된 위험 헌팅

이제 모든 컨테이너용 Defender 고객이 Kubernetes에 대한 에이전트 없는 검색을 사용할 수 있습니다. 지금 바로 이러한 고급 기능을 사용할 수 있습니다. 구독을 업데이트하여 전체 확장을 사용하도록 설정하고 최신 추가 사항과 기능의 혜택을 누리는 것이 좋습니다. 컨테이너용 Defender 구독의 환경 및 설정 창으로 이동하여 확장을 사용하도록 설정하세요.

참고 항목

최신 추가 사항을 사용하도록 설정해도 컨테이너용 Defender 활성 고객에게는 새로운 비용이 발생하지 않습니다.

자세한 내용은 컨테이너용 Microsoft Defender의 컨테이너 보안 개요를 참조하세요.

권장 사항 릴리스: 맬웨어 검사 및 중요한 데이터 위협 탐지과 함께 스토리지용 Microsoft Defender를 사용하도록 설정해야 함

2023년 8월 22일

스토리지용 Defender의 새로운 권장 사항이 릴리스되었습니다. 이 권장 사항은 맬웨어 검사 및 중요한 데이터 위협 탐지 기능을 사용하여 구독 수준에서 스토리지용 Defender를 사용하도록 설정합니다.

권장 설명
맬웨어 검사 및 중요한 데이터 위협 탐지과 함께 스토리지용 Microsoft Defender를 사용하도록 설정해야 함 스토리지용 Microsoft Defender는 스토리지 계정에 대한 잠재적 위협을 탐지합니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다. 새 스토리지용 Defender 플랜에는 맬웨어 검사 및 중요한 데이터 위협 탐지가 포함됩니다. 이 플랜은 또한 적용 범위와 비용을 더 잘 제어할 수 있도록 예측 가능한 가격 책정 구조(스토리지 계정당)를 제공합니다. 대규모의 간단한 에이전트 없는 설정으로 구독 수준에서 사용하도록 설정하면 해당 구독에 따라 기존 및 새로 만든 모든 스토리지 계정이 자동으로 보호됩니다. 보호된 구독에서 특정 스토리지 계정을 제외할 수도 있습니다.

이 새로운 권장 사항은 현재 권장 사항 Microsoft Defender for Storage should be enabled(평가 키 1be22853-8ed1-4005-9907-ddad64cb1417)을 대체합니다. 그러나 이 권장 사항은 Azure Government 클라우드에서 계속 사용할 수 있습니다.

스토리지용 Microsoft Defender에 대해 자세히 알아보세요.

클라우드용 Defender 보안 경고의 확장 속성은 활동 로그에서 마스킹됨

2023년 8월 17일

최근 보안 경고와 활동 로그가 통합되는 방식을 변경했습니다. 중요한 고객 정보를 더 잘 보호하기 위해 활동 로그에 이 정보를 더 이상 포함하지 않습니다. 대신 별표로 마스킹합니다. 그러나 이 정보는 경고 API, 연속 내보내기, 클라우드용 Defender 포털을 통해 계속 사용할 수 있습니다.

활동 로그를 사용하여 SIEM 솔루션으로 경고를 내보내는 고객은 클라우드용 Defender 보안 경고를 내보내는 데 권장되는 방법이 아니므로 다른 솔루션을 사용하는 것이 좋습니다.

SIEM, SOAR, 기타 타사 애플리케이션으로 클라우드용 Defender 보안 경고를 내보내는 방법에 대한 지침은 SIEM, SOAR 또는 IT 서비스 관리 솔루션으로 경고 스트리밍을 참조하세요.

Defender CSPM의 GCP 지원 미리 보기 릴리스

2023년 8월 15일

GCP 리소스를 지원하는 Defender CSPM의 상황에 맞는 클라우드 보안 그래프와 공격 경로 분석의 미리 보기 릴리스를 도입합니다. GCP 리소스 전반에 걸쳐 포괄적인 가시성 및 지능형 클라우드 보안을 위해 Defender CSPM 기능을 적용할 수 있습니다.

GCP 지원의 주요 기능은 다음과 같습니다.

  • 공격 경로 분석 - 공격자가 취할 수 있는 잠재적 경로를 파악합니다.
  • 클라우드 보안 탐색기 - 보안 그래프에서 그래프 기반 쿼리를 실행하여 보안 위험을 사전에 식별합니다.
  • 에이전트 없는 검사 - 에이전트를 설치하지 않고 서버를 검사하고 비밀과 취약성을 식별합니다.
  • 데이터 인식 보안 태세 - Google Cloud Storage 버킷에서 중요한 데이터에 대한 위험을 검색하고 수정합니다.

Defender CSPM 플랜 옵션에 대해 자세히 알아보세요.

서버용 Defender의 새로운 보안 경고 플랜 2: Azure 가상 머신 확장을 악용하는 잠재적 공격 탐지

2023년 8월 7일

이 새로운 일련의 경고는 Azure 가상 머신 확장의 의심스러운 활동을 탐지하는 데 중점을 두고 가상 머신을 손상시키고 악의적인 활동을 수행하려는 공격자의 시도에 대한 인사이트를 제공합니다.

이제 서버용 Microsoft Defender는 가상 머신 확장의 의심스러운 활동을 탐지하여 워크로드 보안을 더 잘 적용할 수 있습니다.

Azure 가상 머신 확장은 가상 머신에서 배포 후 실행되고 구성, 자동화, 모니터링, 보안 등의 기능을 제공하는 소규모 애플리케이션입니다. 확장은 강력한 도구이지만 위협 행위자가 다음과 같은 다양한 악의적인 의도에 사용할 수 있습니다.

  • 데이터 수집 및 모니터링
  • 높은 권한으로 코드 실행 및 구성 배포
  • 자격 증명 재설정 및 관리자 만들기
  • 디스크 암호화

다음은 새 경고에 대한 테이블입니다.

경고(경고 유형) 설명 MITRE 전술 심각도
구독에 GPU 확장을 설치하는 데 의심스러운 오류 발생(미리 보기)
(VM_GPUExtensionSuspiciousFailure)		 지원되지 않는 VM에 GPU 확장을 설치하려는 의심스러운 의도가 있습니다. 이 확장은 그래픽 프로세서가 장착된 가상 머신에 설치해야 하며, 이 경우 가상 머신에는 그래픽 프로세서가 장착되어 있지 않습니다. 이러한 실패는 악의적인 공격자가 암호화 마이닝 목적으로 해당 확장을 여러 번 설치할 때 나타날 수 있습니다. 영향 중간
가상 머신에서 의심스러운 GPU 확장 설치가 탐지됨(미리 보기)
(VM_GPUDriverExtensionUnusualExecution)
이 경고는 2023년 7월에 릴리스되었습니다.		 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 GPU 확장 설치가 탐지되었습니다. 공격자는 GPU 드라이버 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에 GPU 드라이버를 설치하고 크립토재킹을 수행할 수 있습니다. 이 활동은 보안 주체의 동작이 일반적인 패턴에서 벗어나므로 의심스러운 것으로 간주됩니다. 영향 낮음
가상 머신에서 의심스러운 스크립트가 포함된 실행 명령이 탐지됨(미리 보기)
(VM_RunCommandSuspiciousScript)		 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 스크립트가 포함된 실행 명령이 탐지되었습니다. 공격자는 실행 명령을 사용하여 Azure Resource Manager를 통해 가상 머신에서 높은 권한으로 악성 코드를 실행할 수 있습니다. 해당 스크립트는 특정 부분이 잠재적으로 악성인 것으로 식별되어 의심스러운 것으로 간주됩니다. 실행 높음
가상 머신에서 의심스러운 무단 실행 명령 사용이 탐지됨(미리 보기)
(VM_RunCommandSuspiciousFailure)		 실행 명령의 의심스러운 무단 사용이 실패했으며 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 탐지되었습니다. 공격자는 실행 명령을 사용하여 Azure Resource Manager를 통해 가상 머신에서 높은 권한으로 악성 코드를 실행하려고 시도할 수 있습니다. 해당 작업은 이전에 흔히 볼 수 없었으므로 의심스러운 것으로 간주됩니다. 실행 중간
가상 머신에서 의심스러운 실행 명령 사용이 탐지됨(미리 보기)
(VM_RunCommandSuspiciousUsage)		 구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 실행 명령 사용이 탐지되었습니다. 공격자는 실행 명령을 사용하여 Azure Resource Manager를 통해 가상 머신에서 높은 권한으로 악성 코드를 실행할 수 있습니다. 해당 작업은 이전에 흔히 볼 수 없었으므로 의심스러운 것으로 간주됩니다. 실행 낮음
가상 머신에서 여러 모니터링 또는 데이터 수집 확장의 의심스러운 사용이 탐지됨(미리 보기)
(VM_SuspiciousMultiExtensionUsage)		 구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 여러 모니터링 또는 데이터 수집 확장의 의심스러운 사용이 감지되었습니다. 공격자는 구독에서 데이터 수집, 네트워크 트래픽 모니터링 등에 대해 이러한 확장을 악용할 수 있습니다. 해당 사용은 이전에 흔히 볼 수 없었으므로 의심스러운 것으로 간주됩니다. 정찰 중간
가상 머신에서 의심스러운 디스크 암호화 확장 설치가 탐지됨(미리 보기)
(VM_DiskEncryptionSuspiciousUsage)		 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 디스크 암호화 확장 설치가 탐지되었습니다. 공격자는 랜섬웨어 활동을 수행하기 위해 디스크 암호화 확장을 악용하여 Azure Resource Manager를 통해 가상 머신에 전체 디스크 암호화를 배포할 수 있습니다. 해당 작업은 이전에 일반적으로 볼 수 없었고 확장 설치 수가 많으므로 의심스러운 것으로 간주됩니다. 영향 중간
가상 머신에서 의심스러운 VM 액세스 확장 사용이 탐지됨(미리 보기)
(VM_VMAccessSuspiciousUsage)		 가상 머신에서 의심스러운 VM 액세스 확장 사용이 탐지되었습니다. 공격자는 VM 액세스 확장을 악용하여 액세스 권한을 재설정하거나 관리자를 관리하여 높은 권한이 있는 가상 머신에 액세스하고 이를 손상할 수 있습니다. 이 작업은 보안 주체의 행동이 일반적인 패턴에서 벗어나고 확장 설치 수가 많으므로 의심스러운 것으로 간주됩니다. 지속성 중간
가상 머신에서 의심스러운 스크립트가 포함된 DSC(Desired State Configuration) 확장이 탐지됨(미리 보기)
(VM_DSCExtensionSuspiciousScript)		 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 스크립트가 포함된 DSC(Desired State Configuration) 확장이 탐지되었습니다. 공격자는 DSC(Desired State Configuration) 확장을 사용하여 가상 머신에서 높은 권한으로 지속성 메커니즘, 악성 스크립트 등과 같은 악의적인 구성을 배포할 수 있습니다. 해당 스크립트는 특정 부분이 잠재적으로 악성인 것으로 식별되어 의심스러운 것으로 간주됩니다. 실행 높음
가상 머신에서 DSC(Desired State Configuration) 확장의 의심스러운 사용이 탐지됨(미리 보기)
(VM_DSCExtensionSuspiciousUsage)		 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 DSC(Desired State Configuration) 확장의 의심스러운 사용이 탐지되었습니다. 공격자는 DSC(Desired State Configuration) 확장을 사용하여 가상 머신에서 높은 권한으로 지속성 메커니즘, 악성 스크립트 등과 같은 악의적인 구성을 배포할 수 있습니다. 이 작업은 보안 주체의 행동이 일반적인 패턴에서 벗어나고 확장 설치 수가 많으므로 의심스러운 것으로 간주됩니다. 영향 낮음
가상 머신에서 의심스러운 스크립트가 포함된 사용자 지정 스크립트 확장이 탐지됨(미리 보기)
(VM_CustomScriptExtensionSuspiciousCmd)
(이 경고는 이미 존재하며 더욱 향상된 논리 및 탐지 방법을 통해 개선되었습니다.)		 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 스크립트가 포함된 사용자 지정 스크립트 확장이 탐지되었습니다. 공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 높은 권한으로 악성 코드를 실행할 수 있습니다. 해당 스크립트는 특정 부분이 잠재적으로 악성인 것으로 식별되어 의심스러운 것으로 간주됩니다. 실행 높음

서버용 Defender의 확장 기반 경고를 참조하세요.

전체 경고 목록은 클라우드용 Microsoft Defender의 모든 보안 경고에 대한 참조 테이블을 참조하세요.

클라우드용 Defender 플랜에 대한 비즈니스 모델 및 가격 책정 업데이트

2023년 8월 1일

클라우드용 Microsoft Defender에는 서비스 계층 보호를 제공하는 세 가지 플랜이 있습니다.

  • Key Vault용 Defender

  • Resource Manager용 Defender

  • DNS용 Defender

이러한 플랜은 지출 예측 가능성에 대한 고객 피드백을 처리하고 전체 비용 구조를 간소화하기 위해 다양한 가격 책정과 패키징을 갖춘 새로운 비즈니스 모델로 전환되었습니다.

비즈니스 모델 및 가격 책정 변경 요약:

Key-Vault용 Defender, Resource Manager용 Defender, DNS용 Defender의 기존 고객은 새 비즈니스 모델과 가격 책정으로 적극적으로 전환하지 않는 한 현재 비즈니스 모델과 가격 책정을 유지합니다.

  • Resource Manager용 Defender: 이 플랜에는 월별 구독당 고정 가격이 적용됩니다. 고객은 Resource Manager용 Defender의 새로운 구독별 모델을 선택하여 새로운 비즈니스 모델로 전환할 수 있습니다.

Key-Vault용 Defender, Resource Manager용 Defender, DNS용 Defender의 기존 고객은 새 비즈니스 모델과 가격 책정으로 적극적으로 전환하지 않는 한 현재 비즈니스 모델과 가격 책정을 유지합니다.

  • Resource Manager용 Defender: 이 플랜에는 월별 구독당 고정 가격이 적용됩니다. 고객은 Resource Manager용 Defender의 새로운 구독별 모델을 선택하여 새로운 비즈니스 모델로 전환할 수 있습니다.
  • Key Vault용 Defender: 이 플랜에는 초과분 요금 없이 월별 자격 증명 모음당 고정 가격이 적용됩니다. 고객은 Key Vault용 Defender의 새로운 자격 증명 모음별 모델을 선택하여 새로운 비즈니스 모델로 전환할 수 있습니다.
  • DNS용 Defender: 서버용 Defender 플랜 2 고객은 추가 비용 없이 서버용 Defender 플랜 2의 일부로 DNS용 Defender 값에 액세스할 수 있습니다. 서버용 Defender 플랜 2와 DNS용 Defender를 모두 보유한 고객에게는 더 이상 DNS용 Defender에 대한 요금이 청구되지 않습니다. DNS용 Defender는 더 이상 독립 실행형 플랜으로 제공되지 않습니다.

클라우드용 Defender 가격 책정 페이지에서 이러한 플랜의 가격 책정에 대해 자세히 알아보세요.

2023년 7월

7월의 업데이트 다음을 포함합니다.

날짜 엽데이트
7월 31일 컨테이너용 Defender 및 컨테이너 레지스트리용 Microsoft Defender에서 MDVM(Microsoft Defender 취약성 평가)이 제공하는 컨테이너 취약성 평가의 미리 보기 릴리스
7월 30일 이제 Defender CSPM의 에이전트 없는 컨테이너 태세 일반 공급
7월 20일 Linux를 위한 엔드포인트용 Defender에 대한 자동 업데이트 관리
7월 18일 서버용 Defender의 가상 머신에 대한 에이전트 없는 비밀 검사 P2 및 Defender CSPM
7월 12일 서버용 Defender 플랜 2의 새로운 보안 경고: Azure VM GPU 드라이버 확장을 활용하여 잠재적 공격 탐지
7월 9일 특정 취약성 결과를 사용하지 않도록 설정 지원
7월 1일 이제 데이터 인식 보안 태세가 일반 공급됨

컨테이너용 Defender 및 컨테이너 레지스트리용 Microsoft Defender에서 MDVM(Microsoft Defender 취약성 평가)이 제공하는 컨테이너 취약성 평가의 미리 보기 릴리스

2023년 7월 31일

컨테이너용 Defender 및 컨테이너 레지스트리용 Defender의 MDVM(Microsoft Defender 취약성 관리)이 제공하는 Azure 컨테이너 레지스트리의 Linux 컨테이너 이미지에 대한 VA(취약성 평가) 릴리스를 도입합니다. 새 컨테이너 VA 제품은 컨테이너용 Defender 및 컨테이너 레지스트리용 Defender 모두에서 Qualys가 제공하는 기존 컨테이너 VA 제품과 함께 제공되며 컨테이너 이미지에 대한 일별 재검사, 악용 가능성 정보, OS 및 프로그래밍 언어(SCA) 지원 등이 포함되어 있습니다.

이 새로운 제품은 오늘부터 출시되며 8월 7일까지 모든 고객에게 제공될 예정입니다.

자세한 내용은 MDVM 기반 컨테이너 취약성 평가MDVM(Microsoft Defender 취약성 관리)를 참조하세요.

이제 Defender CSPM의 에이전트 없는 컨테이너 태세 일반 공급

2023년 7월 30일

이제 에이전트 없는 컨테이너 상태 기능은 Defender CSPM(클라우드 보안 상태 관리) 계획의 일부로 GA(일반 공급)됩니다.

Defender CSPM의 에이전트 없는 컨테이너 태세에 대해 자세히 알아보세요.

Linux를 위한 엔드포인트용 Defender에 대한 자동 업데이트 관리

2023년 7월 20일

기본적으로 클라우드용 Defender는 MDE.Linux 확장이 온보딩된 Linux를 위한 엔드포인트용 Defender 에이전트를 업데이트하려고 시도합니다. 이번 릴리스에서는 해당 설정을 관리하고 기본 구성에서 옵트아웃하여 업데이트 주기를 수동으로 관리할 수 있습니다.

Linux를 위해 자동 업데이트 구성을 관리하는 방법을 알아보세요.

서버용 Defender의 가상 머신에 대한 에이전트 없는 비밀 검사 P2 및 Defender CSPM

2023년 7월 18일

이제 서버용 Defender P2 및 Defender CSPM에서 에이전트 없는 검사의 일부로 비밀 검사를 사용할 수 있습니다. 이 기능은 Azure 또는 AWS 리소스의 가상 머신에 저장된 관리되지 않는 비밀과 안전하지 않은 비밀을 검색하는 데 도움이 되며 네트워크에서 횡적으로 이동하는 데 사용할 수 있습니다. 비밀이 탐지되면 클라우드용 Defender는 머신 성능에 영향을 주지 않고 수평 이동 위험을 최소화하기 위해 우선 순위를 지정하고 실행 가능한 수정 단계를 수행하는 데 도움을 줄 수 있습니다.

비밀 검색을 사용하여 비밀을 보호하는 방법에 대한 자세한 내용은 에이전트 없는 비밀 검사를 사용하여 비밀 관리를 참조하세요.

서버용 Defender 플랜 2의 새로운 보안 경고: Azure VM GPU 드라이버 확장을 활용하여 잠재적 공격 탐지

2023년 7월 12일

이 경고는 Azure 가상 머신 GPU 드라이버 확장을 활용하여 의심스러운 활동을 식별하는 데 중점을 두고 가상 머신을 손상시키려는 공격자의 시도에 대한 인사이트를 제공합니다. 경고는 의심스러운 GPU 드라이버 확장 배포를 대상으로 합니다. 이러한 확장은 공격자가 GPU 카드의 모든 기능을 활용하고 크립토재킹을 수행하기 위해 악용하는 경우가 많습니다.

경고 표시 이름
(경고 유형)		 설명 심각도 MITRE 전략
가상 머신에서 GPU 확장의 의심스러운 설치(미리 보기)
(VM_GPUDriverExtensionUnusualExecution)		 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 GPU 확장 설치가 탐지되었습니다. 공격자는 GPU 드라이버 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에 GPU 드라이버를 설치하고 크립토재킹을 수행할 수 있습니다. 낮음 영향

전체 경고 목록은 클라우드용 Microsoft Defender의 모든 보안 경고에 대한 참조 테이블을 참조하세요.

특정 취약성 결과를 사용하지 않도록 설정 지원

2023년 7월 9일

에이전트 없는 컨테이너 태세의 일부로 컨테이너 레지스트리 이미지 또는 실행 중인 이미지에 대한 취약성 결과를 사용하지 않도록 설정하기 위한 지원 릴리스입니다. 조직에서 컨테이너 레지스트리 이미지를 수정하는 대신 취약성 결과를 무시해야 하는 경우 이를 사용하지 않도록 설정할 수 있습니다(선택 사항). 사용하지 않도록 설정된 결과는 보안 점수에 영향을 주거나 원치 않는 노이즈를 생성하지 않습니다.

컨테이너 레지스트리 이미지에서 취약성 평가 결과를 사용하지 않도록 설정하는 방법을 알아보세요.

이제 데이터 인식 보안 태세가 일반 공급됨

2023년 7월 1일

이제 클라우드용 Microsoft Defender의 데이터 인식 보안 태세가 일반 공급됩니다. 이는 고객이 데이터 위험을 줄이고 데이터 위반에 대응하는 데 도움이 됩니다. 데이터 인식 보안 태세를 사용하여 다음을 수행할 수 있습니다.

  • Azure와 AWS에서 중요한 데이터 리소스를 자동으로 검색합니다.
  • 데이터 민감도, 데이터 노출, 조직 전체의 데이터 흐름 방식을 평가합니다.
  • 데이터 위반으로 이어질 수 있는 위험을 사전에 지속적으로 찾아냅니다.
  • 중요한 데이터 리소스에 대한 지속적인 위협을 나타낼 수 있는 의심스러운 작업을 검색합니다.

자세한 내용은 클라우드용 Microsoft Defender의 데이터 인식 보안 태세를 참조하세요.

2023년 6월

6월의 업데이트 다음과 같습니다.

날짜 엽데이트
6월 26일 향상된 설정을 사용하여 간소화된 다중 클라우드 계정 온보딩
6월 25일 스토리지용 Defender의 맬웨어 검사에 대한 프라이빗 엔드포인트 지원
6월 15일 규정 준수에서 NIST 800-53 표준에 대한 제어 업데이트가 이루어짐
6월 11일 이제 Azure Migrate 비즈니스 사례를 사용한 클라우드 마이그레이션 계획에 클라우드용 Defender가 포함됨
6월 7일 이제 SQL용 Defender의 취약성 평가를 위한 빠른 구성 일반 공급
6월 6일 기존 Azure DevOps 커넥터에 더 많은 범위 추가
6월 4일 Defender CSPM에서 컨테이너 기능에 대한 에이전트 기반 검색을 에이전트 없는 검색으로 대체

향상된 설정을 사용하여 간소화된 다중 클라우드 계정 온보딩

2023년 6월 26일

클라우드용 Defender는 고급 온보딩 기능에 대한 액세스를 제공하면서 AWS 및 GCP 환경을 온보딩할 수 있는 새로운 기능 외에도 새로운 간소화된 사용자 인터페이스 및 지침을 포함하도록 온보딩 환경을 개선했습니다.

자동화를 위해 Hashicorp Terraform을 채택한 조직의 경우 이제 클라우드용 Defender에는 AWS CloudFormation 또는 GCP Cloud Shell과 함께 Terraform을 배포 방법으로 사용할 수 있는 기능이 포함되어 있습니다. 이제 통합을 만들 때 필요한 역할 이름을 사용자 지정할 수 있습니다. 다음 중 하나를 선택할 수도 있습니다.

  • 기본 액세스 - 클라우드용 Defender에서 리소스를 검사하고 향후 기능을 자동으로 포함할 수 있습니다.

  • 최소 권한 액세스 - 선택한 계획에 필요한 현재 권한에 대해서만 클라우드용 Defender 액세스 권한을 부여합니다.

최소 권한을 선택하는 경우 커넥터 상태에 대한 모든 기능을 사용하는 데 필요한 새 역할 및 권한에 대해서만 알림을 받게 됩니다.

클라우드용 Defender를 사용하면 클라우드 공급업체의 네이티브 이름으로 클라우드 계정을 구분할 수 있습니다. AWS 계정 별칭 및 GCP 프로젝트 이름을 예로 들 수 있습니다.

스토리지용 Defender의 맬웨어 검사에 대한 프라이빗 엔드포인트 지원

2023년 6월 25일

이제 프라이빗 엔드포인트 지원은 스토리지용 Defender의 맬웨어 검사 공개 미리 보기의 일부로 사용할 수 있습니다. 이 기능을 사용하면 프라이빗 엔드포인트를 사용하는 스토리지 계정에서 맬웨어 검사를 사용하도록 설정할 수 있습니다. 다른 구성은 필요하지 않습니다.

스토리지용 Defender의 맬웨어 검색(미리 보기)은 Microsoft Defender 바이러스 백신 기능을 통해 업로드된 콘텐츠에 대해 거의 실시간으로 전체 맬웨어 검색을 수행하여 악성 콘텐츠로부터 스토리지 계정을 보호하는 데 도움이 됩니다. 신뢰할 수 없는 콘텐츠를 처리하기 위한 보안 및 규정 준수 요구 사항을 충족하도록 설계되었습니다. 유지 관리가 필요 없이 대규모로 간단한 설정을 허용하고 대규모 응답 자동화를 지원하는 에이전트 없는 SaaS 솔루션입니다.

프라이빗 엔드포인트는 Azure Storage 서비스에 대한 보안 연결을 제공하여 퍼블릭 인터넷 노출을 효과적으로 제거하며 보안 모범 사례로 간주됩니다.

이미 맬웨어 검색을 사용하도록 설정한 프라이빗 엔드포인트가 있는 스토리지 계정의 경우 이 기능이 작동하도록 하려면 사용하지 않도록 설정하고 맬웨어 검사를 사용하여 계획을 사용하도록 설정해야 합니다.

스토리지용 Defender에서 프라이빗 엔드포인트를 사용하는 방법과 스토리지 서비스를 추가로 보호하는 방법에 대해 자세히 알아보세요.

미리 보기용으로 릴리스된 권장 사항: 컨테이너 이미지를 실행하면 취약성 결과가 해결되어야 합니다(Microsoft Defender 취약성 관리 제공).

2023년 6월 21일

MDVM에서 제공하는 Defender CSPM의 새로운 컨테이너 권장 사항이 미리 보기로 릴리스되었습니다.

추천 설명 평가 키
컨테이너 이미지를 실행하면 취약성 발견이 해결되어야 합니다(Microsoft Defender 취약성 관리 기반)(미리 보기) 컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 이 권장 사항은 현재 Kubernetes 클러스터에서 실행 중인 취약한 이미지에 대한 가시성을 제공합니다. 현재 실행 중인 컨테이너 이미지의 취약성을 수정하는 것은 보안 태세를 개선하고 컨테이너화된 워크로드에 대한 공격 표면을 크게 줄이는 데 중요합니다. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

이 새로운 권장 사항은 Defender CSPM에서만 Qualys에서 제공하는 동일한 이름의 현재 권장 사항을 대체합니다(평가 키 41503391-efa5-47ee-9282-4eff6131462c 대체).

규정 준수에서 NIST 800-53 표준에 대한 제어 업데이트가 이루어짐

2023년 6월 15일

NIST 800-53 표준(R4 및 R5 모두)은 최근 클라우드용 Microsoft Defender 규정 준수의 제어 변경 내용으로 업데이트되었습니다. Microsoft 관리형 컨트롤은 표준에서 제거되었으며 Microsoft 책임 구현에 대한 정보(클라우드 공유 책임 모델의 일부)는 이제 Microsoft Actions의 컨트롤 세부 정보 창에서만 사용할 수 있습니다.

이러한 컨트롤은 이전에 전달된 컨트롤로 계산되었으므로 2023년 4월부터 2023년 5월까지 NIST 표준의 준수 점수가 크게 하락할 수 있습니다.

규정 준수 컨트롤에 대한 자세한 내용은 자습서: 규정 준수 검사 - 클라우드용 Microsoft Defender를 참조하세요.

이제 Azure Migrate 비즈니스 사례를 사용한 클라우드 마이그레이션 계획에 클라우드용 Defender가 포함됨

2023년 6월 11일

이제 Azure Migrate 비즈니스 사례의 컨텍스트에서 클라우드용 Defender를 적용하여 잠재적 보안 비용을 절감할 수 있습니다.

이제 SQL용 Defender의 취약성 평가를 위한 빠른 구성 일반 공급

2023년 6월 7일

이제 SQL용 Defender의 취약성 평가를 위한 빠른 구성이 일반 공급됩니다. 빠른 구성은 원클릭 구성(또는 API 호출)을 사용하여 SQL 취약성 평가를 위한 간소화된 온보딩 환경을 제공합니다. 관리형 스토리지 계정에 대해 필요한 추가 설정이나 종속성은 없습니다.

빠른 구성에 대해 자세히 알아보려면 이 블로그를 확인하세요.

빠른 구성과 클래식 구성의 차이점을 알아볼 수 있습니다.

기존 Azure DevOps 커넥터에 더 많은 범위 추가

2023년 6월 6일

DevOps용 Defender는 ADO(Azure DevOps) 애플리케이션에 다음과 같은 추가 범위를 추가했습니다.

  • 사전 보안 관리: vso.advsec_manage. ADO를 위한 GitHub Advanced Security을 사용하거나 사용하지 않도록 설정하고 관리하는 데 필요합니다.

  • 컨테이너 매핑: vso.extension_manage, vso.gallery_manager. ADO 조직과 데코레이터 확장을 공유할 수 있도록 하기 위해 필요합니다.

ADO 리소스를 클라우드용 Microsoft Defender에 온보딩하려는 새로운 DevOps용 Defender 고객만 이 변경 내용의 영향을 받습니다.

이제 Azure Arc 없이 서버용 Defender에 직접 온보딩할 수 있습니다.

2023년 6월 5일

이전에는 Azure 이외의 서버를 서버용 Defender에 온보딩하려면 Azure Arc가 필요했습니다. 그러나 최신 릴리스에서는 엔드포인트용 Microsoft Defender 에이전트만 사용하여 온-프레미스 서버를 서버용 Defender에 온보딩할 수도 있습니다.

이 새로운 방법은 핵심 엔드포인트 보호에 중점을 둔 고객을 위한 온보딩 프로세스를 간소화하고 클라우드 및 비클라우드 자산 모두에 대한 서버용 Defender의 사용량 기반 청구를 활용할 수 있도록 합니다. 이제 엔드포인트용 Defender를 통한 직접 온보딩 옵션을 사용할 수 있으며 온보딩된 컴퓨터에 대한 요금은 7월 1일부터 청구됩니다.

자세한 내용은 엔트포인트용 Defender를 사용하여 비 Azure 컴퓨터를 클라우드용 Microsoft Defender에 연결을 참조하세요.

Defender CSPM에서 컨테이너 기능에 대한 에이전트 기반 검색을 에이전트 없는 검색으로 대체

2023년 6월 4일

Defender CSPM에서 에이전트 없는 컨테이너 태세 기능을 사용할 수 있게 되면서 이제 에이전트 기반 검색 기능은 사용 중지되었습니다. 현재 Defender CSPM 내에서 컨테이너 기능을 사용하는 경우 컨테이너 관련 공격 경로, 인사이트 및 인벤토리와 같은 새로운 에이전트 없는 기능의 컨테이너 관련 값을 계속 수신하려면 관련 확장을 사용하도록 설정해야 합니다. (확장 기능 사용 설정 효과를 확인하는 데 최대 24시간이 걸릴 수 있습니다.)

에이전트 없는 컨테이너 태세에 대해 자세히 알아보세요.

2023년 5월

업데이트 포함할 수 있습니다.

Key Vault용 Defender의 새 경고

경고(경고 유형) 설명 MITRE 전술 심각도
의심스러운 IP(비 Microsoft 또는 외부)에서 키 자격 증명 모음에 대한 비정상적인 액세스
(KV_UnusualAccessSuspiciousIP)		 사용자 또는 서비스 주체가 지난 24시간 동안 Microsoft가 아닌 IP에서 키 자격 증명 모음에 대한 비정상적인 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 활동일 수 있습니다. 이는 키 자격 증명 모음 및 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도가 있음을 나타낼 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간

사용 가능한 모든 경고는 Azure Key Vault에 대한 경고를 참조하세요.

이제 에이전트 없는 검사가 AWS에서 암호화된 디스크 지원

이제 VM에 대한 에이전트 없는 검사는 CMK와 PMK를 모두 사용하여 AWS에서 암호화된 디스크가 있는 인스턴스 처리를 지원합니다.

이 확장된 지원은 실행 중인 워크로드에 영향을 주지 않고 클라우드 자산에 대한 적용 범위와 가시성을 높입니다. 암호화된 디스크에 대한 지원은 실행 중인 인스턴스에 미치는 영향이 없는 동일한 방법을 유지합니다.

  • AWS에서 에이전트 없는 검사를 사용하도록 설정하는 새로운 고객의 경우 암호화된 디스크 검사가 기본 제공되고 지원됩니다.
  • 에이전트 없는 검사를 사용하도록 설정된 AWS 커넥터가 이미 있는 기존 고객의 경우 암호화된 디스크를 처리하는 데 필요한 새 권한을 업데이트하고 추가하려면 온보딩된 AWS 계정에 CloudFormation 스택을 다시 적용해야 합니다. 업데이트된 CloudFormation 템플릿에는 클라우드용 Defender가 암호화된 디스크를 처리할 수 있는 새로운 할당이 포함되어 있습니다.

AWS 인스턴스를 검사하는 데 사용되는 권한에 대해 자세히 알아볼 수 있습니다.

CloudFormation 스택을 다시 적용하려면 다음을 수행합니다.

  1. 클라우드용 Defender 환경 설정으로 이동하여 AWS 커넥터를 엽니다.
  2. 액세스 구성 탭으로 이동합니다.
  3. CloudFormation 템플릿을 다운로드하려면 클릭을 선택합니다.
  4. AWS 환경으로 이동하여 업데이트된 템플릿을 적용합니다.

에이전트 없는 검사AWS에서 에이전트 없는 스캔 사용 설정에 대해 자세히 알아보세요.

클라우드용 Defender의 수정된 JIT(Just-In-Time) 규칙 명명 규칙

클라우드용 Microsoft Defender 브랜드에 맞게 JIT(Just-In-Time) 규칙을 수정했습니다. Azure Firewall 및 NSG(네트워크 보안 그룹) 규칙에 대한 명명 규칙을 변경했습니다.

변경 내용은 다음과 같습니다.

설명 이전 이름 새 이름
NSG의 JIT 규칙 이름(허용 및 거부)(네트워크 보안 그룹) SecurityCenter-JITRule MicrosoftDefenderForCloud-JITRule
NSG의 JIT 규칙 설명 ASC JIT 네트워크 액세스 규칙 MDC JIT 네트워크 액세스 규칙
JIT 방화벽 규칙 컬렉션 이름 ASC-JIT MDC-JIT
JIT 방화벽 규칙 이름 ASC-JIT MDC-JIT

Just-In-Time 액세스를 사용하여 관리 포트를 보호하는 방법을 알아보세요.

선택한 AWS 지역 온보딩

이제 AWS CloudTrail 비용 및 규정 준수 요구 사항을 관리하는 데 도움이 되도록 클라우드 커넥터를 추가하거나 편집할 때 검색할 AWS 지역을 선택할 수 있습니다. 이제 AWS 계정을 클라우드용 Defender에 등록할 때 선택한 특정 AWS 지역 또는 사용 가능한 모든 지역(기본값)을 검사할 수 있습니다. 클라우드용 Microsoft Defender에 AWS 계정 연결에서 자세히 알아보세요.

ID 권장 사항에 대한 여러 변경 내용

다음 권장 사항은 이제 일반 공급(GA)으로 릴리스되었으며 현재 사용되지 않는 V1 권장 사항을 대체합니다.

ID 권장 사항 V2의 GA(일반 공급) 릴리스

ID 권장 사항의 V2 릴리스에는 다음과 같은 개선 사항이 도입되었습니다.

  • 검사 범위가 구독뿐만 아니라 모든 Azure 리소스를 포함하도록 확장되었습니다. 이렇게 하면 보안 관리자가 계정당 역할 할당을 볼 수 있습니다.
  • 이제 특정 계정은 평가에서 제외할 수 있습니다. 보안 관리자가 비상 또는 서비스 계정과 같은 계정을 제외할 수 있습니다.
  • 검사 빈도가 24시간에서 12시간으로 증가하여 ID 권장 사항이 더욱 최신의 정확한 정보를 제공할 수 있게 되었습니다.

다음 보안 권장 사항은 GA에서 사용할 수 있으며 V1 권장 사항을 대체합니다.

추천 평가 키
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 6240402e-f77c-46fa-9060-a7ce53997754
Azure 리소스에 대한 쓰기 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 c0cb17b2-0607-48a7-b0e0-903ed22de39b
Azure 리소스에 대한 읽기 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 20606e75-05c4-48c0-9d97-add6daa2109a
Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 050ac097-3dda-4d24-ab6d-82568e7a50cf
Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

ID 권장 사항 V1 사용 중단

이제 다음 보안 권장 사항은 더 이상 사용되지 않습니다.

추천 평가 키
구독에서 소유자 권한이 있는 계정에 대해 MFA를 사용하도록 설정해야 합니다. 94290b00-4d0c-d7b4-7cea-064a9554e681
구독에서 쓰기 권한이 있는 계정에 대해 MFA를 사용하도록 설정해야 합니다. 57e98606-6b1e-6193-0e3d-fe621387c16b
구독에서 읽기 권한이 있는 계정에 대해 MFA를 사용하도록 설정해야 합니다. 151e82c5-5341-a74b-1eb0-bc38d2c84bb5
소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. c3b6ae71-f1f0-31b4-e6c1-d5951285d03d
쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. 04e7147b-0deb-9796-2e5c-0336343ceb3d
읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b
소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. e52064aa-6853-e252-a11e-dffc675689c2
더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 00c6d40b-e990-6acf-d4f3-471e747a27c4

V2 권장 사항에 맞게 사용자 지정 스크립트, 워크플로, 거버넌스 규칙을 업데이트하는 것이 좋습니다.

규정 준수 대시보드의 레거시 표준 사용 중단

레거시 PCI DSS v3.2.1 및 레거시 SOC TSP는 클라우드용 Defender 규정 준수 대시보드에서 완전히 사용되지 않으며 SOC 2 유형 2 이니셔티브 및 PCI DSS v4 이니셔티브 기반 규정 준수 표준으로 대체되었습니다. 21Vianet이 운영하는 Microsoft Azure에서 PCI DSS 표준/이니셔티브에 대한 지원이 완전히 중단되었습니다.

규정 준수 대시보드에서 표준 집합을 사용자 지정하는 방법에 대해 알아보세요.

이제 두 DevOps용 Defender 권장 사항에 Azure DevOps 검사 결과 포함

DevOps Code용 Defender와 IaC는 다음 두 가지 권장 사항에 대한 Azure DevOps 보안 결과를 포함하도록 클라우드용 Microsoft Defender의 권장 사항 범위를 확장했습니다.

  • Code repositories should have code scanning findings resolved

  • Code repositories should have infrastructure as code scanning findings resolved

이전에는 Azure DevOps 보안 검사에 대한 적용 범위에는 비밀 권장 사항만 포함되었습니다.

DevOps용 Defender에 대해 자세히 알아봅니다.

서버용 Defender 취약성 평가 솔루션에 대한 새로운 기본 설정

취약성 평가(VA) 솔루션은 사이버 공격과 데이터 위반으로부터 컴퓨터를 보호하는 데 필수적입니다.

이제 MDVM(Microsoft Defender 취약성 관리)은 아직 VA 솔루션을 선택하지 않은 서버용 Defender 보호되는 모든 구독에 대한 기본 제공 솔루션으로 사용하도록 설정되었습니다.

구독의 VM 중 하나에서 VA 솔루션이 사용하도록 설정되어 있는 경우 변경 내용이 적용되지 않으며 해당 구독의 나머지 VM에서는 기본적으로 MDVM이 사용하도록 설정되지 않습니다. 구독의 나머지 VM에서 VA 솔루션을 사용하도록 설정할 수 있습니다.

에이전트 없는 검사를 통해 취약성을 찾고 소프트웨어 인벤토리를 수집하는 방법(미리 보기)을 알아보세요.

클라우드 보안 탐색기 쿼리 결과의 CSV 보고서 다운로드(미리 보기)

클라우드용 Defender에는 클라우드 보안 탐색기 쿼리 결과에 대한 CSV 보고서를 다운로드하는 기능이 추가되었습니다.

쿼리 검색을 실행한 후 클라우드용 Defender의 클라우드 보안 탐색기 페이지에서 CSV 보고서 다운로드(미리 보기) 단추를 선택할 수 있습니다.

클라우드 보안 탐색기로 쿼리 빌드 방법에 대해 알아보세요.

Defender CSPM의 MDVM(Microsoft Defender 취약성 관리)가 제공하는 컨테이너 취약성 평가 릴리스

Defender CSPM의 MDVM(Microsoft Defender 취약성 관리)에서 제공하는 Azure 컨테이너 레지스트리의 Linux 이미지에 대한 취약성 평가 릴리스를 도입합니다. 이번 릴리스에는 이미지의 일일 검사가 포함됩니다. 보안 탐색기 및 공격 경로에 사용된 결과는 Qualys 검사기 대신 MDVM 취약성 평가에 의존합니다.

기존 권장 사항 Container registry images should have vulnerability findings resolved는 MDVM에서 제공하는 새로운 권장 사항으로 대체됩니다.

추천 설명 평가 키
컨테이너 레지스트리 이미지에서 발견된 취약성이 해결되어야 함(Microsoft Defender 취약성 관리에서 구동함) 컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 이 권장 사항은 현재 Kubernetes 클러스터에서 실행 중인 취약한 이미지에 대한 가시성을 제공합니다. 현재 실행 중인 컨테이너 이미지의 취약성을 수정하는 것은 보안 태세를 개선하고 컨테이너화된 워크로드에 대한 공격 표면을 크게 줄이는 데 중요합니다. dbd0cb49-b563-45e7-9724-889e799fa648
c0b7cfc6-3172-465a-b378-53c7ff2cc0d5로 대체

Defender CSPM의 에이전트 없는 컨테이너 태세에 대해 자세히 알아보세요.

MDVM(Microsoft Defender Vulnerability Management)에 대해 자세히 알아보세요.

Qualys에서 제공하는 컨테이너 권장 사항 이름 바꾸기

컨테이너용 Defender의 현재 컨테이너 권장 사항은 다음과 같이 이름이 변경됩니다.

추천 설명 평가 키
컨테이너 레지스트리 이미지에는 취약성 발견이 해결되어야 합니다(Qualys에 의해 구동됨). 컨테이너 이미지 취약성 평가는 레지스트리를 검사하여 보안 취약성을 확인하고 이미지마다 발견한 정보를 공개합니다. 취약성을 해결하면 컨테이너의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다. dbd0cb49-b563-45e7-9724-889e799fa648
컨테이너 이미지를 실행하면 취약성 결과가 해결되어야 함(Qualys 제공) 컨테이너 이미지 취약성 평가는 Kubernetes 클러스터에서 실행되는 컨테이너 이미지에 보안 취약성이 있는지 검사하고 각 이미지에 대한 자세한 결과를 노출합니다. 취약성을 해결하면 컨테이너의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다. 41503391-efa5-47ee-9282-4eff6131462c

DevOps용 Defender GitHub 애플리케이션 업데이트

DevOps용 Microsoft Defender는 클라우드용 Defender에 GitHub 환경을 등록한 DevOps 고객이 GitHub 조직에 배포된 애플리케이션의 일부로 권한을 제공하도록 요구하는 변경과 업데이트를 지속적으로 수행하고 있습니다. 이러한 권한은 DevOps용 Defender의 모든 보안 기능이 문제 없이 정상적으로 작동하도록 하는 데 필요합니다.

사용 가능한 모든 DevOps 기능에 계속 액세스할 수 있도록 최대한 빨리 권한을 업데이트하는 것이 좋습니다.

권한은 다음과 같은 두 가지 방법으로 부여할 수 있습니다.

  • 조직에서 GitHub 앱을 선택합니다. 조직을 찾고 요청 검토를 선택합니다.

  • GitHub 지원으로부터 자동화된 메일을 받게 됩니다. 메일에서 이 변경 내용을 수락하거나 거부하려면 권한 요청을 검토를 선택합니다.

이러한 옵션 중 하나를 수행한 후에는 요청을 검토해야 하는 검토 화면으로 이동하게 됩니다. 새 권한 수락을 선택하여 요청을 승인합니다.

권한 업데이트에 도움이 필요한 경우 Azure 지원 요청을 만들 수 있습니다.

DevOps용 Defender에 대해 자세히 알아볼 수도 있습니다. 구독의 VM 중 하나에서 VA 솔루션이 사용하도록 설정되어 있는 경우 변경 내용이 적용되지 않으며 해당 구독의 나머지 VM에서는 기본적으로 MDVM이 사용하도록 설정되지 않습니다. 구독의 나머지 VM에서 VA 솔루션을 사용하도록 설정할 수 있습니다.

에이전트 없는 검사를 통해 취약성을 찾고 소프트웨어 인벤토리를 수집하는 방법(미리 보기)을 알아보세요.

이제 Azure DevOps 리포지토리의 DevOps 끌어오기 요청 주석에 대한 Defender에 코드 제공 인프라 구성 오류 포함

DevOps용 Defender는 Azure Resource Manager 및 Bicep 템플릿에서 탐지된 IaC(코드 제공 인프라) 구성 오류를 포함하도록 Azure DevOps의 PR(끌어오기 요청) 주석 적용 범위를 확장했습니다.

이제 개발자는 PR에서 직접 IaC 구성 오류에 대한 주석을 볼 수 있습니다. 또한 개발자는 인프라가 클라우드 워크로드에 프로비전되기 전에 중요한 보안 문제를 해결할 수 있습니다. 수정을 간소화하기 위해 개발자에게는 각 주석 내 심각도 수준, 잘못된 구성 설명, 수정 지침이 제공됩니다.

이전에는 Azure DevOps의 DevOps용 Defender PR 주석 적용 범위에는 비밀만 포함되었습니다.

DevOps용 Defender끌어오기 요청 주석에 대해 자세히 알아보세요.

2023년 4월

4월의 업데이트는 다음과 같습니다.

Defender CSPM의 에이전트 없는 컨테이너 태세(미리 보기)

새로운 에이전트 없는 컨테이너 태세(미리 보기) 기능은 Defender CSPM(클라우드 보안 태세 관리) 계획의 일부로 사용할 수 있습니다.

에이전트 없는 컨테이너 태세를 사용하면 보안 팀이 컨테이너 및 Kubernetes 영역에서 보안 위험을 식별할 수 있습니다. 에이전트 없는 접근 방식을 사용하면 보안 팀이 SDLC 및 런타임에서 Kubernetes 및 컨테이너 레지스트리에 대한 가시성을 확보하여 워크로드에서 마찰과 공간을 제거할 수 있습니다.

에이전트 없는 컨테이너 태세는 공격 경로 분석과 결합하여 보안 팀이 특정 컨테이너 취약성에 우선 순위를 지정하고 확대할 수 있도록 하는 컨테이너 취약성 평가를 제공합니다. 또한 클라우드 보안 탐색기를 사용하여 위험을 발견하고 취약한 이미지를 실행하거나 인터넷에 노출된 애플리케이션 검색과 같은 컨테이너 태세 인사이트를 찾을 수 있습니다.

에이전트 없는 컨테이너 태세(미리 보기)에 대해 자세히 알아보세요.

통합 디스크 암호화 권장 사항(미리 보기)

공개 미리 보기 Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHostLinux virtual machines should enable Azure Disk Encryption or EncryptionAtHost에서 통합 디스크 암호화 권장 사항을 도입했습니다.

해당 권장 사항은 Azure Disk Encryption을 탐지한 Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources 및 EncryptionAtHost를 탐지한 정책 Virtual machines and virtual machine scale sets should have encryption at host enabled를 대체합니다. ADE와 EncryptionAtHost는 유사한 수준의 미사용 암호화 범위를 제공하며, 모든 가상 머신에서 이 중 하나를 사용하도록 설정하는 것이 좋습니다. 새로운 권장 사항은 ADE 또는 EncryptionAtHost의 사용 여부를 탐지하고 둘 중 하나가 사용되지 않는 경우에만 경고를 표시합니다. 또한 가상 머신의 모든 디스크가 아닌 일부 디스크에서 ADE를 사용하도록 설정한 경우에도 경고합니다(이 조건은 EncryptionAtHost에는 적용되지 않음).

새 권장 사항에는 Azure Automanage 컴퓨터 구성이 필요합니다.

해당 권장 사항은 다음 정책을 기반으로 합니다.

ADE 및 EncryptionAtHost와 둘 중 하나를 사용하도록 설정하는 방법에 대해 자세히 알아보세요.

컴퓨터를 안전하게 구성해야 함 권장 사항 변경 내용

권장 사항이 Machines should be configured securely 업데이트되었습니다. 이 업데이트는 권장 사항의 성능과 안정성을 향상시키고 클라우드용 Defender 권장 사항의 일반적인 동작에 맞게 환경을 조정합니다.

이 업데이트의 일부로 권장 사항의 ID가 .로 181ac480-f7c4-544b-9865-11b8ffe87f47c476dc48-8110-4139-91af-c8d940896b98변경되었습니다.

고객 측에서 작업이 필요하지 않으며 보안 점수에 대한 예상되는 효과가 없습니다.

App Service 언어 모니터링 정책 사용 중단

다음 앱 서비스 언어 모니터링 정책은 거짓 부정을 발생시킬 수 있고 더 나은 보안을 제공하지 못하므로 더 이상 사용되지 않습니다. 항상 알려진 취약성이 없는 언어 버전을 사용하고 있는지 확인해야 합니다.

정책 이름 Policy ID
Java를 사용하는 App Service 앱은 최신 'Java 버전'을 사용해야 함 496223c3-ad65-4ecd-878a-bae78737e9ed
Python을 사용하는 App Service 앱은 최신 'Python 버전'을 사용해야 함 7008174a-fd10-4ef0-817e-fc820a951d73
Java를 사용하는 함수 앱은 최신 'Java 버전'을 사용해야 함 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc
Python을 사용하는 함수 앱은 최신 'Python 버전'을 사용해야 함 7238174a-fd10-4ef0-817e-fc820a951d73
PHP를 사용하는 App Service 앱은 최신 'PHP 버전'을 사용해야 함 7261b898-8a84-4db8-9e04-18527132abb3

고객은 대체 기본 제공 정책을 사용하여 App Services에 대해 지정된 언어 버전을 모니터링할 수 있습니다.

이러한 정책은 더 이상 클라우드용 Defender의 기본 제공 권장 사항에서 사용할 수 없습니다. 클라우드용 Defender가 모니터링하도록 사용자 지정 권장 사항으로 추가할 수 있습니다.

Resource Manager용 Defender의 새로운 경고

Resource Manager용 Defender에서는 다음과 같은 새로운 경고가 제공됩니다.

경고(경고 유형) 설명 MITRE 전술 심각도
미리 보기 - 의심스러운 컴퓨팅 리소스 만들기가 탐지됨
(ARM_SuspiciousComputeCreation)		 Resource Manager용 Microsoft Defender 구독에서 가상 머신/Azure 스케일링 집합을 사용하는 컴퓨팅 리소스의 의심스러운 만들기를 식별했습니다. 식별된 작업은 관리자가 필요할 때 새로운 리소스를 배포하여 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 암호화 마이닝을 수행할 수 있습니다.
이 작업은 컴퓨팅 리소스 규모가 이전에 구독에서 관찰된 것보다 높으므로 의심스러운 것으로 간주됩니다.
이는 보안 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.		 영향 중간

Resource Manager에 사용할 수 있는 모든 경고 목록을 볼 수 있습니다.

Resource Manager용 Defender 계획의 세 가지 경고는 더 이상 사용되지 않음

Resource Manager용 Defender 계획의 다음 세 가지 경고는 더 이상 사용되지 않습니다.

  • Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
  • Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
  • Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

의심스러운 IP 주소의 작업이 검색된 시나리오에서는 Defender for Resource Manager 계획 경고 Azure Resource Manager operation from suspicious IP address 또는 Azure Resource Manager operation from suspicious proxy IP address 중 하나가 표시됩니다.

Log Analytics 작업 영역으로 경고 자동 내보내기가 더 이상 사용되지 않음

클라우드용 Defender 보안 경고는 리소스 수준에서 기본 Log Analytics 작업 영역으로 자동으로 내보내집니다. 이로 인해 불확정적인 동작이 발생하므로 이 기능은 더 이상 사용되지 않습니다.

대신 연속 내보내기를 사용하여 보안 경고를 전용 Log Analytics 작업 영역으로 내보낼 수 있습니다.

경고의 연속 내보내기를 Log Analytics 작업 영역으로 이미 구성한 경우 추가 작업이 필요하지 않습니다.

Windows 및 Linux 서버에 대해 선택한 경고의 사용 중단 및 개선

서버용 Defender의 보안 경고 품질 향상 프로세스에는 Windows 및 Linux 서버 모두에 대한 일부 경고의 사용 중단이 포함됩니다. 이제 사용되지 않는 경고는 엔드포인트용 Defender 위협 경고에서 소싱되고 적용됩니다.

엔드포인트용 Defender 통합을 이미 사용하도록 설정한 경우 추가 작업이 필요하지 않습니다. 2023년 4월에 경고 볼륨이 감소할 수 있습니다.

Defender for Server에서 엔드포인트용 Defender 통합을 사용하도록 설정하지 않은 경우 엔드포인트용 Defender 통합을 사용하도록 설정하여 경고 범위를 기본 달성하고 개선해야 합니다.

모든 Defender for Servers 고객은 Defender for Servers 계획의 일부로 엔드포인트용 Defender 통합에 대한 모든 권한을 가짐.

엔드포인트용 Microsoft Defender 온보딩 옵션에 대해 자세히 알아볼 수 있습니다.

더 이상 사용되지 않는 것으로 설정된 경고의 전체 목록을 볼 수도 있습니다.

클라우드용 Microsoft Defender 블로그읽어보세요.

Azure Data Services에 대한 4가지 새로운 Azure Active Directory 인증 권장 사항을 추가했습니다.

권장 사항 이름 권장 사항 설명 정책
Azure SQL Managed Instance 인증 모드는 Azure Active Directory만이어야 합니다. 로컬 인증 방법을 사용하지 않도록 설정 및 Azure Active Directory 인증만 허용하면 Azure ACTIVE Directory ID에서 Azure SQL Managed Instances에 단독으로 액세스할 수 있도록 하여 보안이 향상됩니다. Azure SQL Managed Instance는 Azure Active Directory 전용 인증을 사용하도록 설정해야 함
Azure Synapse 작업 영역 인증 모드는 Azure Active Directory 전용이어야 합니다. Azure Active Directory 전용 인증 방법은 Synapse 작업 영역이 인증을 위해 Azure AD ID를 독점적으로 요구하도록 하여 보안을 향상시킵니다. 자세히 알아보기. Synapse 작업 영역은 인증을 위해 Azure Active Directory ID만 사용해야 함
Azure Database for MySQL에는 Azure Active Directory 관리자가 프로비전되어 있어야 합니다. Azure AD 인증을 사용하도록 Azure Database for MySQL에 대한 Azure AD 관리자를 프로비전합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. MySQL 서버에 대해 Azure Active Directory 관리자를 프로비전해야 함
Azure Database for PostgreSQL에는 Azure Active Directory 관리자가 프로비전되어 있어야 합니다. Azure AD 인증을 사용하도록 Azure Database for PostgreSQL에 대한 Azure AD 관리자를 프로비전합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. PostgreSQL 서버에 대해 Azure Active Directory 관리자를 프로비전해야 함

권장 사항 System updates should be installed on your machines (powered by Azure Update Manager)Machines should be configured to periodically check for missing system updates는 일반 공급용으로 릴리스되었습니다.

새 권장 사항을 사용하려면 다음을 수행해야 합니다.

이러한 단계를 완료한 후 Azure 정책에서 클라우드용 Defender의 기본 제공 이니셔티브에서 사용하지 않도록 설정하여 이전 권장 사항 System updates should be installed on your machines를 제거할 수 있습니다.

권장 사항의 두 가지 버전은 다음과 같습니다.

Log Analytics 에이전트가 2024년 8월 31일부터 더 이상 사용되지 않을 때까지 둘 다 사용할 수 있습니다. 이 경우 권장 사항의 이전 버전(System updates should be installed on your machines)도 더 이상 사용되지 않습니다. 두 권장 사항 모두 동일한 결과를 반환하며 동일한 컨트롤 Apply system updates에서 사용할 수 있습니다.

새 권장 사항에 System updates should be installed on your machines (powered by Azure Update Manager) 는 업데이트 관리자(미리 보기)를 통해 결과를 수정하는 데 사용할 수 있는 수정 단추를 통해 사용할 수 있는 수정 흐름이 있습니다. 이 수정 프로세스는 아직 미리 보기로 제공됩니다.

새 권장 사항은 이전 권장 System updates should be installed on your machines사항 System updates should be installed on your machines (powered by Azure Update Manager) 과 동일한 결과를 하므로 보안 점수에 영향을 주지 않을 것으로 예상됩니다.

필수 구성 요소 권장 사항(주기적 평가 속성 사용 설정)은 보안 점수에 부정적인 영향을 줍니다. 제공되는 수정 단추를 사용하여 부정적인 효과를 수정할 수 있습니다.

API용 Defender(미리 보기)

Microsoft의 클라우드용 Defender는 새로운 API용 Defender를 미리 보기로 사용할 수 있다고 발표했습니다.

API용 Defender는 API에 대한 전체 수명 주기 보호, 검색, 응답 범위를 제공합니다.

API용 Defender를 사용하면 비즈니스에 중요한 API에 대한 가시성을 확보하는 데 도움이 됩니다. API 보안 태세를 조사 및 개선하고, 취약성 수정의 우선 순위를 지정하고, 활성 실시간 위협을 신속하게 탐지할 수 있습니다.

API용 Defender에 대해 자세히 알아보세요.

2023년 3월

3월의 업데이트 다음과 같습니다.

거의 실시간으로 맬웨어 검색 및 중요한 데이터 위협 탐지를 포함하여 새로운 스토리지용 Defender 계획을 사용할 수 있습니다.

클라우드 스토리지는 조직에서 중요한 역할을 하며 많은 양의 중요하고 중요한 데이터를 저장합니다. 오늘 새로운 Defender for Storage 계획을 발표합니다. 이전 계획(이제 "스토리지용 Defender(클래식)"으로 이름이 바뀐)을 사용하는 경우 새 기능과 혜택을 사용하려면 새 계획으로 사전에 마이그레이션해야 합니다.

새 플랜에는 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상으로부터 보호하는 데 도움이 되는 고급 보안 기능이 포함되어 있습니다. 또한 적용 범위 및 비용을 보다 효율적으로 제어할 수 있도록 보다 예측 가능하고 유연한 가격 책정 구조를 제공합니다.

새 계획에는 이제 공개 미리 보기에 새로운 기능이 있습니다.

  • 중요한 데이터 노출 및 반출 이벤트 검색

  • 모든 파일 형식에서 거의 실시간 Blob 업로드 맬웨어 검색

  • SAS 토큰을 사용하여 ID가 없는 엔터티 검색

이러한 기능은 제어 및 데이터 평면 로그 분석 및 동작 모델링을 기반으로 기존 활동 모니터링 기능을 향상시켜 위반의 초기 징후를 식별합니다.

이러한 모든 기능은 구독 및 리소스 수준 모두에서 데이터 보호를 세부적으로 제어하는 새로운 예측 가능하고 유연한 가격 책정 계획에서 사용할 수 있습니다.

스토리지용 Microsoft Defender 개요에서 자세히 알아보세요.

데이터 인식 보안 상태(미리 보기)

클라우드용 Microsoft Defender 보안 팀이 위험을 줄이고 클라우드의 데이터 위반에 대응할 때 생산성을 높일 수 있도록 도와줍니다. 이를 통해 데이터 컨텍스트를 사용하여 노이즈를 줄이고 가장 중요한 보안 위험의 우선 순위를 지정하여 비용이 많이 드는 데이터 위반을 방지할 수 있습니다.

  • 클라우드 자산에서 데이터 리소스를 자동으로 검색하고 접근성, 데이터 민감도 및 구성된 데이터 흐름을 평가합니다. -횡적 이동 기술을 사용하여 데이터 리소스로 이어질 수 있는 중요한 데이터 리소스, 노출 또는 공격 경로의 데이터 침해에 대한 위험을 지속적으로 파악합니다.
  • 중요한 데이터 리소스에 대한 지속적인 위협을 나타낼 수 있는 의심스러운 활동을 검색합니다.

데이터 인식 보안 태세에 대해 자세히 알아봅니다.

기본 Azure 보안 정책을 관리하기 위한 향상된 환경

고객이 보안 요구 사항을 미세 조정하는 방식을 간소화하는 기본 제공 권장 사항에 대한 향상된 Azure 보안 정책 관리 환경을 클라우드용 Defender 소개합니다. 새 환경에는 다음과 같은 새로운 기능이 포함됩니다.

  • 간단한 인터페이스를 사용하면 클라우드용 Defender 내에서 기본 보안 정책을 관리할 때 성능과 환경이 향상됩니다.
  • Microsoft 클라우드 보안 벤치마크(이전의 Azure 보안 벤치마크)에서 제공하는 모든 기본 제공 보안 권장 사항의 단일 보기입니다. 권장 사항 논리 그룹으로 구성되므로 다루는 리소스의 유형과 매개 변수와 권장 사항 간의 관계를 더 쉽게 이해할 수 있습니다.
  • 필터 및 검색과 같은 새로운 기능이 추가되었습니다.

보안 정책을 관리하는 방법을 알아봅니다.

클라우드용 Microsoft Defender 블로그읽어보세요.

Defender CSPM(Cloud Security Posture Management)은 이제 GA(일반 공급)

이제 Defender CSPM을 GA(일반 공급)로 출시한다고 발표했습니다. Defender CSPM은 기본 CSPM 기능에서 사용할 수 있는 모든 서비스를 제공하고 다음과 같은 이점을 추가합니다.

  • 공격 경로 분석 및 ARG API - 공격 경로 분석은 클라우드 보안 그래프를 검색하여 공격 경로를 노출하는 그래프 기반 알고리즘을 사용하며, 공격 경로를 중단하고 성공적인 위반을 방지하는 문제를 가장 잘 해결하는 방법에 대한 권장 사항을 제안합니다. ARG(Azure Resource Graph) API를 쿼리하여 프로그래밍 방식으로 공격 경로를 사용할 수도 있습니다. 공격 경로 분석을 사용하는 방법 알아보기
  • 클라우드 보안 탐색기 - 클라우드 보안 탐색 기를 사용하여 클라우드 보안 그래프에서 그래프 기반 쿼리를 실행하여 다중 클라우드 환경에서 보안 위험을 사전에 식별합니다. 클라우드 보안 탐색기에 대해 자세히 알아봅니다.

Defender CSPM에 대해 자세히 알아봅니다.

클라우드용 Microsoft Defender 사용자 지정 권장 사항 및 보안 표준을 만드는 옵션

클라우드용 Microsoft Defender KQL 쿼리를 사용하여 AWS 및 GCP에 대한 사용자 지정 권장 사항 및 표준을 만드는 옵션을 제공합니다. 쿼리 편집기를 사용하여 데이터에 대한 쿼리를 빌드하고 테스트할 수 있습니다. 이 기능은 Defender CSPM(Cloud Security Posture Management) 계획의 일부입니다. 사용자 지정 권장 사항 및 표준을 만드는 방법을 알아봅니다.

MCSB(Microsoft 클라우드 보안 벤치마크) 버전 1.0은 이제 GA(일반 공급)입니다.

클라우드용 Microsoft Defender MCSB(Microsoft 클라우드 보안 벤치마크) 버전 1.0이 이제 GA(일반 공급)임을 발표합니다.

MCSB 버전 1.0은 ASB(Azure Security Benchmark) 버전 3을 클라우드용 Defender 기본 보안 정책으로 대체합니다. MCSB 버전 1.0은 규정 준수 대시보드에서 기본 준수 표준으로 표시되며 모든 클라우드용 Defender 고객에 대해 기본적으로 사용하도록 설정됩니다.

MCSB(Microsoft 클라우드 보안 벤치마크)가 클라우드 보안 경험에서 성공하는 데 어떻게 도움이 되는지 알아볼 수도 있습니다.

MCSB에 대해 자세히 알아보세요.

이제 정부 클라우드에서 일부 규정 준수 표준을 사용할 수 있습니다.

21Vianet에서 운영하는 Azure Government 및 Microsoft Azure의 고객을 위해 이러한 표준을 업데이트하고 있습니다.

Azure Government:

21Vianet에서 운영하는 Microsoft Azure:

규정 준수 대시보드에서 표준 집합을 사용자 지정하는 방법을 알아봅니다.

Azure SQL Server에 대한 새 미리 보기 권장 사항

Azure SQL Server Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)에 대한 새 권장 사항을 추가했습니다.

권장 사항은 기존 정책을 기반으로 합니다. Azure SQL Database should have Azure Active Directory Only Authentication enabled

이 권장 사항은 로컬 인증 방법을 사용하지 않도록 설정하고 Azure Active Directory 인증만 허용하므로 Azure ACTIVE Directory ID에서 Azure SQL Database에 독점적으로 액세스할 수 있도록 하여 보안을 향상시킵니다.

Azure SQL에서 Azure AD 전용 인증을 사용하도록 설정된 서버를 만드는 방법을 알아봅니다.

Key Vault용 Defender의 새 경고

Key Vault용 Defender에는 다음과 같은 새로운 경고가 있습니다.

경고(경고 유형) 설명 MITRE 전술 심각도
의심스러운 IP에서 키 자격 증명 모음으로의 액세스 거부
(KV_SuspiciousIPAccessDenied)		 Microsoft Threat Intelligence가 의심스러운 IP 주소로 식별한 IP에 의해 실패한 키 자격 증명 모음 액세스가 시도되었습니다. 이 시도는 실패했지만 인프라가 손상되었을 수 있음을 나타냅니다. 추가 조사를 권장합니다. 자격 증명 액세스 낮음

Key Vault에 사용할 수 있는 모든 경고 목록을 볼 수 있습니다.

2023년 2월

2월의 업데이트 다음과 같습니다.

향상된 클라우드 보안 탐색기

향상된 버전의 클라우드 보안 탐색기에는 쿼리 마찰을 크게 제거하고 다중 클라우드 및 다중 리소스 쿼리를 실행하는 기능 및 각 쿼리 옵션에 대한 포함된 설명서를 추가하는 새로 고친 사용자 환경이 포함되어 있습니다.

이제 클라우드 보안 탐색기를 사용하면 리소스 간에 클라우드 추상 쿼리를 실행할 수 있습니다. 미리 빌드된 쿼리 템플릿을 사용하거나 사용자 지정 검색을 사용하여 필터를 적용하여 쿼리를 빌드할 수 있습니다. Cloud Security Explorer를 관리하는 방법을 알아봅니 .

이제 Linux 이미지를 실행하는 Defender for Containers의 취약성 검사 GA

Defender for Containers는 실행 중인 컨테이너에서 취약성을 검색합니다. Windows 및 Linux 컨테이너가 모두 지원됩니다.

이 기능은 2022년 8월에 Windows 및 Linux용 미리 보기로 릴리스되었습니다. 이제 Linux용 GA(일반 공급)를 위해 릴리스하고 있습니다.

취약성이 감지되면 클라우드용 Defender 검사 결과를 나열하는 다음 보안 권장 사항을 생성합니다. 컨테이너 이미지를 실행하면 취약성 발견이 해결되어야 합니다.

실행 중인 이미지의 취약성을 보는 방법에 대해 자세히 알아봅니다.

AWS CIS 1.5.0 규정 준수 표준에 대한 지원 발표

이제 클라우드용 Defender CIS Amazon Web Services Foundations v1.5.0 규정 준수 표준을 지원합니다. 표준은 규정 준수 대시보드에 추가될 수 있으며, 다중 클라우드 권장 사항 및 표준에 대한 MDC의 기존 제품을 기반으로 합니다.

이 새로운 표준에는 클라우드용 Defender 범위를 새 AWS 서비스 및 리소스로 확장하는 기존 권장 사항과 새 권장 사항이 모두 포함되어 있습니다.

AWS 평가 및 표준을 관리하는 방법을 알아봅니다.

이제 다른 지역에서 DevOps용 Microsoft Defender(미리 보기)를 사용할 수 있습니다.

DevOps용 Microsoft Defender는 미리 보기를 확장했으며 Azure DevOps 및 GitHub 리소스를 온보딩할 때 서유럽 및 동호주 지역에서 사용할 수 있습니다.

DevOps용 Microsoft Defender에 대해 자세히 알아보세요.

기본 제공 정책 [미리 보기]: Key Vault에 대해 프라이빗 엔드포인트를 구성해야 함

기본 제공 정책은 [Preview]: Private endpoint should be configured for Key Vault 더 이상 사용되지 않으며 정책으로 [Preview]: Azure Key Vaults should use private link 대체됩니다.

Azure Key Vault를 Azure Policy와 통합하는 방법에 대해 자세히 알아봅니다.

2023년 1월

1월의 업데이트 다음을 포함합니다.

이제 설정 및 모니터링 페이지에서 엔드포인트 보호(엔드포인트용 Microsoft Defender) 구성 요소에 액세스합니다.

Endpoint Protection에 액세스하려면 환경 설정>Defender 계획>설정 및 모니터링으로 이동합니다. 여기에서 Endpoint Protection을 On으로 설정할 수 있습니다. 관리되는 다른 구성 요소도 볼 수 있습니다.

서버용 Defender를 사용하여 서버에서 엔드포인트용 Microsoft Defender 사용하도록 설정하는 방법에 대해 자세히 알아봅니다.

누락된 시스템 업데이트를 찾기 위한 권장 사항의 새 버전(미리 보기)

컴퓨터에 최신 보안 또는 중요한 시스템 업데이트가 모두 있는지 확인하기 위해 Azure VM 및 Azure Arc 머신에 에이전트가 더 이상 필요하지 않습니다.

컨트롤의 Apply system updates 새 시스템 업데이트 권장 사항은 System updates should be installed on your machines (powered by Azure Update Manager) 업데이트 관리자(미리 보기)를 기반으로 합니다. 이 권장 사항은 설치된 에이전트 대신 모든 Azure VM 및 Azure Arc 머신에 포함된 네이티브 에이전트를 사용합니다. 새 권장 사항의 빠른 수정을 통해 업데이트 관리자 포털에서 누락된 업데이트를 일회성으로 설치할 수 있습니다.

새 권장 사항을 사용하려면 다음을 수행해야 합니다.

  • 비 Azure 머신을 Arc에 커넥트
  • 주기적 평가 속성을 켭니다. 새 권장 사항 Machines should be configured to periodically check for missing system updates의 빠른 수정을 사용하여 권장 사항을 수정할 수 있습니다.

Log Analytics 에이전트를 사용하는 기존 "시스템 업데이트를 컴퓨터에 설치해야 함" 권장 사항은 여전히 동일한 제어에서 사용할 수 있습니다.

연결된 AWS 및 GCP 계정에서 삭제된 Azure Arc 머신 정리

머신의 서버용 Defender 또는 DEFENDER for SQL에서 다루는 AWS 및 GCP 계정에 연결된 컴퓨터는 클라우드용 Defender Azure Arc 컴퓨터로 표시됩니다. 지금까지 해당 컴퓨터는 AWS 또는 GCP 계정에서 컴퓨터가 삭제되었을 때 인벤토리에서 삭제되지 않았습니다. 삭제된 컴퓨터를 나타내는 불필요한 Azure Arc 리소스가 클라우드용 Defender 남아 있습니다.

이제 클라우드용 Defender 연결된 AWS 또는 GCP 계정에서 해당 머신이 삭제될 때 Azure Arc 머신을 자동으로 삭제합니다.

방화벽 뒤에서 Event Hubs로 연속 내보내기 허용

이제 Azure 방화벽으로 보호되는 Event Hubs에 대한 신뢰할 수 있는 서비스로 경고 및 권장 사항을 지속적으로 내보낼 수 있습니다.

경고 또는 권장 사항이 생성되면 연속 내보내기를 사용하도록 설정할 수 있습니다. 모든 새 데이터의 주기적인 스냅샷 보내는 일정을 정의할 수도 있습니다.

Azure 방화벽 뒤에 있는 Event Hubs로 연속 내보내기를 사용하도록 설정하는 방법을 알아봅니다.

Azure 고급 네트워킹 솔루션으로 애플리케이션 보호 보안 점수 컨트롤의 이름이 변경됨

보안 점수 컨트롤 Protect your applications with Azure advanced networking solutions 이 .로 변경되었습니다 Protect applications against DDoS attacks.

업데이트된 이름은 ARG(Azure Resource Graph), Secure Score Controls API 및 Download CSV report.에 반영됩니다.

SQL Server에 대한 정책 취약성 평가 설정에는 더 이상 사용되지 않는 검사 보고서를 받기 위한 이메일 주소가 포함되어야 합니다.

정책은 Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports 더 이상 사용되지 않습니다.

Defender for SQL 취약성 평가 전자 메일 보고서는 여전히 사용할 수 있으며 기존 전자 메일 구성은 변경되지 않았습니다.

Virtual Machine Scale Sets에 대한 진단 로그를 사용하도록 설정하는 권장 사항은 더 이상 사용되지 않습니다.

권장 사항은 Diagnostic logs in Virtual Machine Scale Sets should be enabled 더 이상 사용되지 않습니다.

관련 정책 정의 는 규정 준수 대시보드에 표시되는 모든 표준에서 더 이상 사용되지 않습니다.

추천 설명 심각도
Virtual Machine Scale Sets의 진단 로그를 사용하도록 설정해야 합니다. 로그를 사용하도록 설정하고 최대 1년 동안 보존하여 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. 낮음

2022년 12월

12월의 업데이트 다음을 포함합니다.

Defender for SQL의 취약성 평가에 대한 빠른 구성 발표

Microsoft Defender for SQL의 취약성 평가에 대한 빠른 구성은 Synapse 작업 영역 외부의 Azure SQL Database 및 전용 SQL 풀에서 간소화된 구성 환경을 보안 팀에 제공합니다.

취약성 평가에 대한 빠른 구성 환경을 통해 보안 팀은 다음을 수행할 수 있습니다.

  • 고객 관리 스토리지 계정에 대한 다른 설정이나 종속성 없이 SQL 리소스의 보안 구성에서 취약성 평가 구성을 완료합니다.
  • 데이터베이스를 다시 검사하지 않고 검색 결과가 비정상에서 정상으로 변경되는 상태 있도록 즉시 기준선에 검색 결과를 추가합니다.
  • 기준선에 여러 규칙을 한 번에 추가하고 최신 검사 결과를 사용합니다.
  • 구독 수준에서 데이터베이스용 Microsoft Defender를 설정할 때 모든 Azure SQL Server에 대해 취약성 평가를 사용하도록 설정합니다.

DEFENDER for SQL 취약성 평가에 대해 자세히 알아봅니다.

2022년 11월

11월의 업데이트는 다음과 같습니다.

컨테이너용 Defender로 GCP 조직의 컨테이너 보호

이제 GCP 환경에 컨테이너용 Defender를 사용하도록 설정하여 GCP 조직 전체의 표준 GKE 클러스터를 보호할 수 있습니다. 컨테이너용 Defender를 사용하도록 설정된 새 GCP 커넥터를 만들거나 기존의 조직 수준 GCP 커넥터에서 컨테이너용 Defender를 사용하도록 설정하기만 하면 됩니다.

클라우드용 Defender에 GCP 프로젝트 및 조직 연결에 대해 자세히 알아보세요.

샘플 경고를 사용하여 컨테이너용 Defender 보호의 유효성 검사

이제 컨테이너용 Defender 플랜에 대한 샘플 경고도 만들 수 있습니다. 새로운 샘플 경고는 다양한 심각도와 MITRE 전술을 제공하는 AKS, Arc 커넥티드 클러스터, EKS 및 GKE 리소스와 마찬가지 방식으로 제공됩니다. 샘플 경고를 사용하여 SIEM 통합, 워크플로 자동화 및 이메일 알림과 같은 보안 경고 구성의 유효성을 검사할 수 있습니다.

경고 유효성 검사에 대해 자세히 알아보세요.

대규모 거버넌스 규칙(미리 보기)

클라우드용 Defender에서 대규모 거버넌스 규칙(미리 보기)을 적용하는 새 기능이 출시되었습니다.

이 새로운 환경을 통해 보안 팀은 다양한 범위(구독 및 커넥터)의 거버넌스 규칙을 대량으로 정의할 수 있습니다. 보안 팀은 Azure 관리 그룹, AWS 최상위 계정 또는 GCP 조직과 같은 관리 범위를 사용하여 이 작업을 수행할 수 있습니다.

또한 거버넌스 규칙(미리 보기) 페이지에는 조직의 환경에서 효과적인 모든 가용 거버넌스 규칙이 표시됩니다.

새로운 대규모 거버넌스 규칙 환경에 대해 자세히 알아보세요.

참고 항목

2023년 1월 1일부터 거버넌스에서 제공하는 기능을 경험하려면 구독 또는 커넥터에서 Defender CSPM 플랜을 사용하도록 설정해야 합니다.

AWS 및 GCP(미리 보기)에서 사용자 지정 평가를 만드는 기능은 더 이상 사용되지 않습니다.

미리 보기 기능이었던 AWS 계정GCP 프로젝트에 대한 사용자 지정 평가를 만드는 기능은 더 이상 사용되지 않습니다.

람다 함수에 대한 배달 못 한 편지 큐를 구성하는 권장 사항은 더 이상 사용되지 않습니다.

권장 사항은 Lambda functions should have a dead-letter queue configured 더 이상 사용되지 않습니다.

추천 설명 심각도
람다 함수에는 배달 못한 편지 큐가 구성되어 있어야 합니다. 이 컨트롤은 람다 함수가 배달 못 한 편지 큐로 구성되었는지 여부를 확인합니다. 람다 함수가 배달 못 한 편지 큐로 구성되지 않은 경우 컨트롤이 실패합니다. 장애 시 대상에 대한 대안으로 배달 못한 편지 큐로 함수를 구성하면 폐기된 이벤트를 절약하여 추가 처리에 사용할 수 있습니다. 배달 못한 편지 큐는 오류 발생 대상과 동일하게 작동합니다. 이벤트가 모든 처리 시도에 실패하거나 처리되지 않고 만료될 때 사용됩니다. 배달 못한 편지 큐를 사용하면 람다 함수에 대한 오류 또는 실패한 요청을 다시 확인하여 비정상적인 동작을 디버그하거나 식별할 수 있습니다. 보안 관점에서 함수가 실패한 이유를 이해하고 함수가 데이터를 삭제하거나 결과적으로 데이터 보안을 손상시키지 않도록 하는 것이 중요합니다. 예를 들어 함수가 네트워크의 다른 곳에서 DoS(서비스 거부) 공격의 증상이 될 수 있는 기본 리소스와 통신할 수 없는 경우입니다. 중간

2022년 10월

10월의 업데이트 다음을 포함합니다.

Microsoft 클라우드 보안 벤치마크 발표

MCSB(Microsoft 클라우드 보안 벤치마크)는 일반적인 업계 표준 및 규정 준수 프레임워크를 기반으로 기본 클라우드 보안 원칙을 정의하는 새로운 프레임워크입니다. 클라우드 플랫폼에서 이러한 모범 사례를 구현하기 위한 자세한 기술 지침과 함께. MCSB는 Azure Security Benchmark를 대체하고 있습니다. MCSB는 처음에 Azure 및 AWS를 다루는 여러 클라우드 서비스 플랫폼에서 클라우드에 구애받지 않는 보안 권장 사항을 구현하는 방법에 대한 규범적인 세부 정보를 제공합니다.

이제 통합된 단일 대시보드에서 클라우드별로 클라우드 보안 준수 상태를 모니터링할 수 있습니다. 클라우드용 Defender의 규정 준수 대시보드로 이동하면 MCSB를 기본 규정 준수 표준으로 볼 수 있습니다.

Microsoft 클라우드 보안 벤치마크는 클라우드용 Defender를 온보딩할 때 Azure 구독 및 AWS 계정에 자동으로 할당됩니다.

Microsoft 클라우드 보안 벤치마크에 대해 자세히 알아보세요.

클라우드용 Defender의 공격 경로 분석 및 상황에 맞는 보안 기능(미리 보기)

이제 클라우드용 Defender에서 새로운 클라우드 보안 그래프, 공격 경로 분석 및 상황에 맞는 클라우드 보안 기능을 미리 보기로 사용할 수 있습니다.

오늘날 보안 팀이 직면한 가장 큰 과제 중 하나는 매일 직면하는 보안 문제의 수입니다. 해결해야 하는 수많은 보안 문제가 있으며 모든 문제를 해결하기 위한 충분한 리소스가 없습니다.

클라우드용 Defender 새로운 클라우드 보안 그래프 및 공격 경로 분석 기능을 통해 보안 팀은 각 보안 문제의 위험을 평가할 수 있습니다. 또한 보안 팀은 가장 빨리 해결해야 하는 최고 위험 문제를 식별할 수 있습니다. 클라우드용 Defender 보안 팀과 협력하여 가장 효과적인 방법으로 환경에 영향을 미치는 위반의 위험을 줄입니다.

새로운 클라우드 보안 그래프, 공격 경로 분석 및 클라우드 보안 탐색기에 대해 자세히 알아보세요.

Azure 및 AWS 머신용 에이전트 없는 검사(미리 보기)

지금까지 클라우드용 Defender는 에이전트 기반 솔루션에서 VM의 보안 태세를 평가했습니다. 고객이 적용 범위를 최대화하고 온보딩 및 관리 마찰을 줄일 수 있도록 VM을 미리 보기 위해 에이전트 없는 검사를 릴리스합니다.

VM에 대한 에이전트 없는 검사를 사용하면 설치된 소프트웨어 및 소프트웨어 CVE에 대한 광범위한 가시성을 얻을 수 있습니다. 에이전트 설치 및 기본 테넌트, 네트워크 연결 요구 사항 및 성능이 워크로드에 미치는 영향 없이 가시성을 얻을 수 있습니다. 분석은 Microsoft Defender 취약성 관리 의해 구동됩니다.

에이전트 없는 취약성 검사는 AWS 및 Azure VM에 기본적으로 지원되는 Defender CSPM(클라우드 보안 태세 관리) 및 서버용 Defender P2에서 사용할 수 있습니다.

DevOps용 Defender(미리 보기)

클라우드용 Microsoft Defender는 Azure, AWS, Google 및 온-프레미스 리소스를 포함한 하이브리드 및 다중 클라우드 환경에서 포괄적인 표시 유형, 상태 관리 및 위협 방지를 지원합니다.

이제 새로운 DevOps용 Defender 플랜은 GitHub 및 Azure DevOps와 같은 소스 코드 관리 시스템을 클라우드용 Defender에 통합합니다. 이 새로운 통합을 통해 보안 팀은 코드에서 클라우드로 리소스를 보호할 수 있습니다.

DevOps용 Defender를 사용하면 연결된 개발자 환경 및 코드 리소스에 대한 가시성을 얻고 관리할 수 있습니다. 현재 Azure DevOpsGitHub 시스템을 클라우드용 Defender에 연결하고 DevOps 리포지토리를 인벤토리 및 새 DevOps 보안 페이지에 온보딩할 수 있습니다. 이렇게 하면 보안 팀은 시스템 내에서 발견된 보안 문제에 대한 개요를 통합 DevOps 보안 페이지에서 확인할 수 있습니다.

개발자가 끌어오기 요청에서 직접 Azure DevOps의 비밀 검색 결과를 처리할 수 있도록 끌어오기 요청에 주석을 구성할 수 있습니다.

다음 보안 검사를 사용하도록 Azure Pipelines 및 GitHub 워크플로에서 Microsoft Security DevOps 도구를 구성할 수 있습니다.

속성 언어 라이선스
Bandit Python Apache License 2.0
BinSkim Binary – Windows, ELF MIT 라이선스
ESlint JavaScript MIT 라이선스
CredScan(Azure DevOps만 해당) 자격 증명 스캐너(CredScan이라고도 함)는 Microsoft에서 개발하고 유지 관리하는 도구이며 기본 암호, SQL 연결 문자열, 프라이빗 키가 있는 인증서와 같은 소스 코드 및 구성 파일 공통 형식의 자격 증명 유출을 식별합니다. 오픈 소스 아님
템플릿 분석 ARM 템플릿, Bicep 파일 MIT 라이선스
Terrascan Terraform(HCL2), Kubernetes(JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation Apache License 2.0
Trivy 컨테이너 이미지, 파일 시스템, git 리포지토리 Apache License 2.0

이제 DevOps에 다음과 같은 새로운 권장 사항이 제공됩니다.

추천 설명 심각도
(미리 보기) 코드 리포지토리에서 코드 검사 결과를 확인해야 함 DevOps용 Defender는 코드 리포지토리에서 취약성을 발견했습니다. 리포지토리의 보안 상태를 개선하려면 이러한 취약성을 수정하는 것이 좋습니다. (관련 정책 없음) 중간
(미리 보기) 코드 리포지토리에서 비밀 검사 결과를 확인해야 함 DevOps용 Defender는 코드 리포지토리에서 비밀을 발견했습니다.  이는 보안 위반을 방지하기 위해 즉시 수정해야 합니다.  리포지토리에 있는 비밀은 악의적 사용자가 유출하거나 검색할 수 있습니다. 이로 인해 애플리케이션 또는 서비스가 손상될 수 있습니다. Azure DevOps의 경우 Microsoft Security DevOps CredScan 도구는 실행되도록 구성된 빌드만 검색합니다. 따라서 결과는 리포지토리에 있는 비밀의 전체 상태를 반영하지 않을 수 있습니다. (관련 정책 없음) 높음
(미리 보기) 코드 리포지토리에서 Dependabot 검사 결과를 확인해야 함 DevOps용 Defender는 코드 리포지토리에서 취약성을 발견했습니다. 리포지토리의 보안 상태를 개선하려면 이러한 취약성을 수정하는 것이 좋습니다. (관련 정책 없음) 중간
(미리 보기) 코드 리포지토리에서 IaC(Infrastructure as Code) 검사 결과를 확인해야 함 (미리 보기) 코드 리포지토리에서 IaC(Infrastructure as Code) 검사 결과를 확인해야 함 중간
(미리 보기) GitHub 리포지토리에서 코드 검사를 사용하도록 설정해야 함 GitHub는 코드에서 보안 취약성과 오류를 찾기 위해 코드 검사를 사용하여 코드를 분석합니다. 코드 검사는 코드의 기존 문제에 대한 수정을 찾고 심사하고 우선 순위를 지정하는 데 사용할 수 있습니다. 또한 코드 검사는 개발자가 새로운 문제를 도입하지 않도록 방지할 수 있습니다. 검사를 특정 날짜 및 시간에 예약하거나 리포지토리에서 푸시와 같은 특정 이벤트가 발생하는 경우 검사를 트리거할 수 있습니다. 코드 검사에서 코드의 잠재적 취약성 또는 오류를 발견하면 GitHub에서 경고를 리포지토리에 표시합니다. 취약성은 프로젝트의 기밀성, 무결성 또는 가용성을 손상시키기 위해 악용될 수 있는 프로젝트 코드의 문제입니다. (관련 정책 없음) 중간
(미리 보기) GitHub 리포지토리에서 비밀 검사를 사용하도록 설정해야 함 GitHub는 실수로 리포지토리에 커밋된 비밀이 사기에 사용되지 않도록 방지하기 위해 알려진 유형의 비밀에 대해 리포지토리를 검사합니다. 비밀 검사는 GitHub 리포지토리에 있는 모든 분기의 전체 Git 기록에서 비밀을 검사합니다. 비밀의 예로 서비스 공급자가 인증을 위해 발급할 수 있는 토큰과 프라이빗 키가 있습니다. 비밀이 리포지토리에 체크 인되면 리포지토리에 대한 읽기 액세스 권한이 있는 모든 사용자가 비밀을 사용하여 해당 권한으로 외부 서비스에 액세스할 수 있습니다. 비밀은 프로젝트 리포지토리 외부의 안전한 전용 위치에 저장해야 합니다. (관련 정책 없음) 높음
(미리 보기) GitHub 리포지토리에서 Dependabot 검사를 사용하도록 설정해야 함 GitHub는 리포지토리에 영향을 주는 코드 종속성의 취약성을 검색하면 Dependabot 경고를 보냅니다. 취약성은 프로젝트 또는 해당 코드를 사용하는 기타 프로젝트의 기밀성, 무결성 또는 가용성을 손상시키기 위해 악용할 수 있는 프로젝트 코드의 문제입니다. 취약성은 공격 유형, 심각도 및 방법에 따라 다릅니다. 코드가 보안 취약성이 있는 패키지에 종속된 경우 이 취약한 종속성은 다양한 문제를 일으킬 수 있습니다. (관련 정책 없음) 중간

Defender for DevOps 권장 사항은 Defender for Containers에 포함된 CI/CD 워크플로에 대해 사용되지 않는 취약성 스캐너를 대체했습니다.

DevOps용 Defender에 대해 자세히 알아보세요.

이제 규정 준수 대시보드는 Microsoft의 규정 준수 상태에 대한 수동 제어 관리 및 자세한 정보를 지원

클라우드용 Defender의 규정 준수 대시보드는 고객이 규정 준수 상태를 파악하고 추적할 수 있는 핵심 도구입니다. 고객은 다양한 표준 및 규정의 요구 사항에 따라 환경을 지속적으로 모니터링할 수 있습니다.

이제 운영 및 기타 컨트롤을 수동으로 인증하여 규정 준수 상태를 완전히 관리할 수 있습니다. 이제 자동화되지 않은 컨트롤의 규정 준수 증거를 제공할 수 있습니다. 자동화된 평가와 함께, 이제는 선택한 범위 내에서 규정 준수 전체 보고서를 생성하여 특정 표준에 대한 전체 컨트롤 세트를 처리할 수 있습니다.

또한 Microsoft의 규정 준수 상태에 대한 보다 풍부한 컨트롤 정보와 심층적인 세부 정보 및 증거를 제공하므로, 이제 감사에 필요한 모든 정보를 손쉽게 확인할 수 있습니다.

다음과 같은 이점이 있습니다.

  • 수동 고객 작업은 자동화되지 않은 컨트롤의 규정 준수를 수동으로 증명하는 메커니즘을 제공합니다. 증거를 연결하는 기능을 포함하여 준수 날짜 및 만료 날짜를 설정합니다.

  • 기존의 자동화된 고객 작업 외에도 Microsoft 작업수동 고객 작업을 보여 주는 지원되는 표준에 대한 보다 풍부한 컨트롤 세부 정보를 제공합니다.

  • Microsoft 작업은 감사 평가 절차, 테스트 결과 및 편차에 대한 Microsoft의 대응을 포함하여 Microsoft의 규정 준수 상태에 대한 투명성을 제공합니다.

  • 규정 준수 제품은 Azure, Dynamics 365 및 Power Platform 제품과 해당하는 규정 준수 인증을 확인하는 중앙 위치를 제공합니다.

클라우드용 Defender를 사용하여 규정 준수를 개선하는 방법에 대해 자세히 알아보세요.

자동 프로비전의 이름이 설정 및 모니터링으로 변경되고 업데이트된 환경이 있습니다.

자동 프로비전 페이지의 이름을 설정 및 모니터링으로 변경했습니다.

자동 프로비전은 클라우드용 Defender 고급 기능 및 기능에 필요한 필수 구성 요소를 대규모로 사용하도록 허용하기 위한 것이었습니다. 확장된 기능을 더 잘 지원하기 위해 다음과 같은 변경 내용으로 새 환경을 시작합니다.

이제 클라우드용 Defender의 플랜 페이지에는 다음이 포함됩니다.

  • 모니터링 구성 요소가 필요한 Defender 플랜을 사용하도록 설정하면 해당 구성 요소가 기본 설정으로 자동 프로비전에 사용됩니다. 이러한 설정은 원할 때 언제든지 편집할 수 있습니다.
  • Defender 플랜 페이지에서 각 Defender 플랜의 모니터링 구성 요소 설정에 액세스할 수 있습니다.
  • Defender 플랜 페이지는 각 Defender 플랜에 대한 모든 모니터링 구성 요소가 있는지 아니면 모니터링 범위가 불완전한지 명확하게 보여줍니다.

설정 및 모니터링 페이지:

  • 각 모니터링 구성 요소는 관련된 Defender 플랜을 나타냅니다.

모니터링 설정 관리에 대해 자세히 알아보세요.

Defender CSPM(클라우드 보안 태세 관리)

클라우드용 Microsoft Defender의 클라우드 보안을 위한 주요 요소 중 하나는 CSPM(클라우드 보안 태세 관리)입니다. CSPM은 보안을 효율적이고 효과적으로 개선할 수 있는 강화 지침을 제공합니다. CSPM은 또한 현재 보안 상황에 대한 표시 유형을 제공합니다.

새로운 Defender 계획인 Defender CSPM을 발표합니다. 이 플랜은 클라우드용 Defender의 보안 기능을 향상하며 다음과 같은 새 기능과 확장된 기능을 제공합니다.

  • 클라우드 리소스의 보안 구성에 대한 지속적인 평가
  • 잘못된 구성 및 약점을 해결하기 위한 보안 권장 사항
  • 보안 점수
  • 거버넌스
  • 규정 준수
  • 클라우드 보안 그래프
  • 공격 경로 분석
  • 에이전트 없는 머신 검사

Defender CSPM 플랜에 대해 자세히 알아보세요.

이제 AWS 및 GCP 보안 권장 사항에 대해서도 MITRE ATT&CK 프레임워크 매핑을 사용할 수 있습니다.

보안 분석가는 보다 효과적으로 업무 우선 순위를 지정할 수 있도록 보안 권장 사항과 관련된 잠재적 위험을 식별하고 공격 벡터를 이해하는 것이 중요합니다.

클라우드용 Defender MITRE ATT&CK 프레임워크에 대해 Azure, AWS 및 GCP 보안 권장 사항을 매핑하여 우선 순위를 더 쉽게 지정합니다. MITRE ATT&CK 프레임워크는 실제 관찰을 기반으로 하는 악의적인 전술 및 기술의 전 세계적으로 액세스할 수 있는 기술 자료 고객이 환경의 보안 구성을 강화할 수 있도록 합니다.

MITRE ATT&CK 프레임워크는 다음 세 가지 방법으로 통합됩니다.

  • 권장 사항 MITRE ATT&CK 전술 및 기술에 매핑됩니다.
  • Azure Resource Graph를 사용하여 권장 사항에 대한 MITRE ATT&CK 전술 및 기술을 쿼리합니다.

Azure Portal에서 MITRE 공격이 있는 위치를 보여 주는 스크린샷

이제 컨테이너용 Defender는 Elastic Container Registry(미리 보기)의 취약성 평가를 지원

컨테이너용 Microsoft Defender는 이제 Amazon AWS의 ECR(Elastic Container Registry)에 대한 에이전트 없는 취약성 평가 검사를 제공합니다. AWS 및 Google GCP에 대한 고급 위협 방지 및 Kubernetes 환경 강화의 올해 초 릴리스를 기반으로 하는 다중 클라우드 환경에 대한 적용 범위를 확장합니다. 에이전트 없는 모델은 AWS 계정에서 이미지를 추출하지 않고 워크로드에 흔적을 남겨 두지 않으면서 계정에 이미지 검사를 위한 AWS 리소스를 만듭니다.

ECR 리포지토리의 이미지에 대한 에이전트 없는 취약성 평가 검사는 컨테이너 취약성을 식별하고 관리하기 위해 이미지를 지속적으로 검사하여 컨테이너화된 자산의 공격 표면을 줄이는 데 도움이 됩니다. 이 새 릴리스에서는 클라우드용 Defender 컨테이너 이미지가 리포지토리로 푸시된 후 검사하고 레지스트리의 ECR 컨테이너 이미지를 지속적으로 재평가합니다. 결과는 클라우드용 Microsoft Defender의 권장 사항으로 제공되며, 클라우드용 Defender의 기본 제공 자동화 워크플로를 사용하여 이미지의 심각한 취약성을 수정하기 위한 티켓을 여는 등 결과에 대한 조치를 취할 수 있습니다.

Amazon ECR 이미지에 대한 취약성 평가에 대해 자세히 알아보세요.

2022년 9월

9월의 업데이트 다음과 같습니다.

컨테이너 및 Kubernetes 엔터티를 기반으로 경고 표시 안 함

  • Kubernetes 네임스페이스
  • Kubernetes Pod
  • Kubernetes 비밀
  • Kubernetes ServiceAccount
  • Kubernetes ReplicaSet
  • Kubernetes StatefulSet
  • Kubernetes DaemonSet
  • Kubernetes 작업
  • Kubernetes CronJob

경고 제거 규칙에 대해 자세히 알아보세요.

Defender for Servers는 Azure Monitor 에이전트를 사용하여 파일 무결성 모니터링을 지원합니다.

FIM(파일 무결성 모니터링)은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일 및 레지스트리를 검사합니다.

FIM은 이제 클라우드용 Defender를 통해 배포할 수 있는 AMA(Azure Monitor 에이전트)를 기반으로 하는 새 버전에서 사용할 수 있습니다.

Azure Monitor 에이전트를 사용하는 파일 무결성 모니터링에 대해 자세히 알아봅니다.

레거시 평가 API 사용 중단

다음 API는 더 이상 사용되지 않습니다.

  • 보안 작업
  • 보안 상태
  • 보안 요약

이러한 세 가지 API는 이전 형식의 평가를 노출했으며 평가 APISubAssessments API로 대체되었습니다. 이러한 레거시 API에서 노출되는 모든 데이터는 새 API에서도 사용할 수 있습니다.

ID에 더 많은 권장 사항 추가

클라우드용 Defender는 사용자 및 계정 관리를 개선할 수 있도록 권장 사항을 제공합니다.

새 권장 사항

새 릴리스에는 다음과 같은 기능이 포함되어 있습니다.

  • 확장된 평가 범위 – 보안 관리자가 계정당 역할 할당을 볼 수 있도록 MFA가 없는 ID 계정 및 Azure 리소스의 외부 계정(구독만 해당)에 대한 적용 범위가 향상되었습니다.

  • 향상된 새로 고침 간격 - 이제 ID 권장 사항의 새로 고침 간격은 12시간입니다.

  • 계정 예외 기능 - 클라우드용 Defender에는 환경을 사용자 지정하고 보안 점수가 조직의 보안 우선 순위를 반영하는지 확인하는 데 사용할 수 있는 많은 기능이 있습니다. 예를 들어 보안 점수에서 리소스 및 권장 사항을 제외할 수 있습니다.

    이 업데이트를 통해 다음 표에 나열된 6가지 권장 사항에 따라 특정 계정을 평가에서 제외할 수 있습니다.

    일반적으로 이러한 계정은 종종 조직의 MFA 요구 사항에서 의도적으로 제외되기 때문에 MFA 권장 사항에서 비상 "중단" 계정을 제외합니다. 또는 액세스를 허용하고 싶지만 MFA를 사용하도록 설정되지 않은 외부 계정이 있는 경우도 있습니다.

    계정을 제외하면 비정상으로 표시되지 않으며 구독이 비정상으로 표시되지도 않습니다.

    추천 평가 키
    Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 6240402e-f77c-46fa-9060-a7ce53997754
    Azure 리소스에 대한 쓰기 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 c0cb17b2-0607-48a7-b0e0-903ed22de39b
    Azure 리소스에 대한 읽기 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
    Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 20606e75-05c4-48c0-9d97-add6daa2109a
    Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
    Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
    Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 050ac097-3dda-4d24-ab6d-82568e7a50cf
    Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

미리 보기 상태의 권장 사항이 현재 일반 공급되는 권장 사항 옆에 표시될 것입니다.

테넌트 간 Log Analytics 작업 영역에 보고하는 머신에 대한 보안 경고 제거

과거에는 클라우드용 Defender를 사용하면 Log Analytics 에이전트가 보고하는 작업 영역을 선택할 수 있었습니다. 머신이 한 테넌트("테넌트 A")에 속하지만 Log Analytics 에이전트가 다른 테넌트("테넌트 B")의 작업 영역에 보고하는 경우 머신에 대한 보안 경고가 첫 번째 테넌트("테넌트 A")에 보고되었습니다.

이번 변화로 인해, 다른 테넌트에서 Log Analytics 작업 영역에 연결된 컴퓨터에 대한 경고가 더 이상 클라우드용 Defender에 표시되지 않습니다.

클라우드용 Defender에서 경고를 계속 받으려면 관련 컴퓨터의 Log Analytics 에이전트를 컴퓨터와 동일한 테넌트에 있는 작업 영역에 연결합니다.

보안 경고에 대해 자세히 알아보세요.

2022년 8월

8월의 업데이트는 다음과 같습니다.

이제 Windows 컨테이너에서 컨테이너용 Defender를 사용하여 이미지 실행에 대한 취약성이 표시됩니다.

이제 컨테이너용 Defender는 Windows 컨테이너 실행에 대한 취약성을 표시합니다.

취약성이 감지되면 클라우드용 Defender는 검색된 문제를 나열하는 컨테이너 이미지를 실행하면 취약성 발견이 해결되어야 함 보안 권장 사항을 생성합니다.

실행 중인 이미지의 취약성을 보는 방법에 대해 자세히 알아봅니다.

Azure Monitor 에이전트 통합이 미리 보기로 제공됩니다.

이제 클라우드용 Defender에는 AMA(Azure Monitor Agent)에 대한 미리 보기 지원이 포함되어 있습니다. AMA는 사용 중단 경로에 있는 레거시 Log Analytics 에이전트(MMA(Microsoft Monitoring Agent)라고도 함)를 대체하기 위한 것입니다. AMA는 레거시 에이전트보다 많은 이점을 제공합니다.

클라우드용 Defender AMA에 대해 자동 프로비전을 사용하도록 설정하면 에이전트가 기존 VM 및 새 VM 및 구독에서 검색된 Azure Arc 지원 컴퓨터에 배포됩니다. 클라우드용 Defender 플랜을 사용하도록 설정하면 AMA는 Azure VM 및 Azure Arc 머신에서 구성 정보 및 이벤트 로그를 수집합니다. AMA 통합은 미리 보기 상태이므로 프로덕션 환경이 아닌 테스트 환경에서 사용하는 것이 좋습니다.

다음 표에는 사용되지 않는 경고가 나와 있습니다.

경고 이름 설명 전술 심각도
Kubernetes 노드에서 검색된 Docker 빌드 작업
(VM_ImageBuildOnNode)		 컴퓨터 로그는 Kubernetes 노드에서 컨테이너 이미지의 빌드 작업을 나타냅니다. 이 동작은 합법적일 수 있지만, 공격자가 악의적인 이미지를 로컬로 빌드하여 감지를 피할 수 있습니다. 방어 회피 낮음
Kubernetes API에 대한 의심스러운 요청
(VM_KubernetesAPI)		 컴퓨터 로그는 Kubernetes API에 대한 의심스러운 요청이 이루어졌다는 것을 나타냅니다. 요청은 노드에서 실행되는 컨테이너 중 하나에서 Kubernetes 노드에서 전송되었을 수 있습니다. 이 동작은 의도적일 수 있지만 노드가 손상된 컨테이너를 실행하고 있음을 나타낼 수도 있습니다. 측면 이동 중간
SSH 서버가 컨테이너 내에서 실행되고 있습니다.
(VM_ContainerSSH)		 컴퓨터 로그에 SSH 서버가 Docker 컨테이너 내에서 실행되는 것으로 나타납니다. 이 동작은 의도적일 수 있지만 컨테이너가 잘못 구성되었거나 위반되었음을 나타내는 경우가 많습니다. 실행 중간

이러한 경고는 Kubernetes 클러스터에 연결된 의심스러운 활동을 사용자에게 알리는 데 사용됩니다. 경고는 클라우드 컨테이너용 Microsoft Defender 경고의 일부인 일치하는 경고(K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPIK8S.NODE_ ContainerSSH)로 대체되어 경고를 조사하고 조치를 수행하기 위한 향상된 충실도 및 포괄적인 컨텍스트를 제공합니다. Kubernetes 클러스터에 대한 경고에 대해 자세히 알아봅니다.

이제 컨테이너 취약점에 자세한 패키지 정보가 포함됩니다.

이제 컨테이너용 Defender의 VA(취약성 평가)에는 패키지 이름, 패키지 유형, 경로, 설치된 버전 및 고정 버전을 포함하여 각 검색에 대한 자세한 패키지 정보가 포함됩니다. 패키지 정보를 사용하면 취약성을 수정하거나 패키지를 제거할 수 있도록 취약한 패키지를 찾을 수 있습니다.

이 자세한 패키지 정보는 이미지의 새 검사에 사용할 수 있습니다.

컨테이너 취약점에 대한 패키지 정보의 스크린샷.

2022년 7월

7월의 업데이트 다음을 포함합니다.

Kubernetes 런타임 보호를 위한 클라우드 네이티브 보안 에이전트의 GA(일반 공급)

Kubernetes 런타임 보호를 위한 클라우드 네이티브 보안 에이전트가 이제 GA(일반 공급)되었음을 알려드리게 되어 기쁩니다!

고객이 애플리케이션을 계속 컨테이너화함에 따라 Kubernetes 클러스터의 프로덕션 배포는 계속해서 증가하고 있습니다. 이러한 성장을 지원하기 위해 컨테이너용 Defender 팀은 클라우드 네이티브 Kubernetes 지향 보안 에이전트를 개발했습니다.

새로운 보안 에이전트는 eBPF 기술을 기반으로 하는 Kubernetes DaemonSet이며 AKS 보안 프로필의 일부로 AKS 클러스터에 완전히 통합됩니다.

보안 에이전트 사용은 자동 프로비전, 권장 사항 흐름, AKS RP 또는 Azure Policy를 사용하여 대규모로 사용할 수 있습니다.

현재 AKS 클러스터에 Defender 에이전트를 배포할 수 있습니다.

이번 발표로 런타임 보호 - 위협 감지(워크로드)도 이제 일반 공급됩니다.

컨테이너용 Defender의 사용 가능한 기능에 대해 자세히 알아봅니다.

사용 가능한 모든 경고을 검토할 수도 있습니다.

미리 보기 버전을 사용하는 경우 AKS-AzureDefender 기능 플래그가 더 이상 필요하지 않습니다.

컨테이너용 Defender의 VA에 언어별 패키지 검색에 대한 지원 추가(미리 보기)

컨테이너용 Defender의 VA(취약성 평가)는 OS 패키지 관리자를 통해 배포된 OS 패키지의 취약성을 검색할 수 있습니다. 이제 언어별 패키지에 포함된 VA의 취약성 검색 기능이 확장되었습니다.

이 기능은 미리 보기로 제공되며 Linux 이미지에만 사용할 수 있습니다.

추가로 포함된 언어별 패키지를 모두 보려면 컨테이너용 Defender의 전체 기능 및 가용성 목록을 체크 아웃하세요.

Operations Management Infrastructure 취약성 CVE-2022-29149로부터 보호

OMI(Operations Management Infrastructure)는 온-프레미스 및 클라우드 환경을 한 곳에서 관리하기 위한 클라우드 기반 서비스의 모음입니다. OMI 구성 요소는 온-프레미스 리소스를 배포하고 관리하는 대신 Azure에서 전적으로 호스트됩니다.

OMI 버전 13을 실행하는 Azure HDInsight와 통합된 Log Analytics에는 CVE-2022-29149를 수정하는 패치가 필요합니다. 이 취약성 및 수정 단계의 영향을 받는 리소스를 식별하는 방법에 대한 정보는 Microsoft 보안 업데이트 지침에서 이 취약성에 대한 보고서를 참조하세요.

취약성 평가와 함께 서버용 Defender를 사용하도록 설정한 경우 이 통합 문서를 사용하여 영향을 받는 리소스를 식별할 수 있습니다.

Entra Permissions Management와 통합

클라우드용 Defender는 Azure, AWS 및 GCP의 모든 ID 및 리소스에 대한 권한을 포괄적으로 표시하고 제어하는 CIEM(클라우드 인프라 권한 관리) 솔루션인 Microsoft Entra Permissions Management와 통합되었습니다.

이제 온보딩하는 각 Azure 구독, AWS 계정 및 GCP 프로젝트에 PCI(권한 상승 인덱스) 보기가 표시됩니다.

Entra Permission Management(이전의 Cloudknox)에 대해 자세히 알아보세요.

Key Vault 권장 사항이 "감사"로 변경됨

여기에 나열된 Key Vault 권장 사항에 대한 효과가 "감사"로 변경되었습니다.

권장 사항 이름 권장 사항 ID
Azure Key Vault에 저장된 인증서의 유효 기간이 12개월을 넘어서는 안 됩니다. fc84abc0-eee6-4758-8372-a7681965ca44
Key Vault 비밀에는 만료 날짜가 있어야 함 14257785-9437-97fa-11ae-898cfb24302b
Key Vault 키에는 만료 날짜가 있어야 함 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2

App Service에 대한 API 앱 정책 사용 중단

API 앱을 포함하기 위해 이미 존재하는 해당 정책에 대한 다음 정책은 사용되지 않습니다.

지원 중단 예정 다음으로 변경
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' App Service apps should have 'Client Certificates (Incoming client certificates)' enabled
Ensure that 'Python version' is the latest, if used as a part of the API app App Service apps that use Python should use the latest Python version'
CORS should not allow every resource to access your API App App Service apps should not have CORS configured to allow every resource to access your apps
Managed identity should be used in your API App App Service apps should use managed identity
Remote debugging should be turned off for API Apps App Service apps should have remote debugging turned off
Ensure that 'PHP version' is the latest, if used as a part of the API app App Service apps that use PHP should use the latest 'PHP version'
FTPS only should be required in your API App App Service apps should require FTPS only
Ensure that 'Java version' is the latest, if used as a part of the API app App Service apps that use Java should use the latest 'Java version'
Latest TLS version should be used in your API App App Service apps should use the latest TLS version

2022년 6월

6월의 업데이트 다음과 같습니다.

Azure Cosmos DB용 Microsoft Defender의 GA(일반 공급)

Azure Cosmos DB용 Microsoft Defender는 이제 GA(일반 공급)되며 SQL(핵심) API 계정 유형을 지원합니다.

GA에 대한 이 새로운 릴리스는 다양한 유형의 SQL 데이터베이스 및 MariaDB를 포함하는 클라우드용 Microsoft Defender 데이터베이스 보호 제품군의 일부입니다. Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정의 데이터베이스를 악용하려는 모든 시도를 검색하는 Azure 네이티브 보안 계층입니다.

이 계획을 사용하도록 설정하면 잠재적인 SQL 삽입, 알려진 악의적인 행위자, 의심스러운 액세스 패턴 및 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스의 잠재적 탐색에 대한 경고가 표시됩니다.

잠재적으로 악의적인 활동이 감지되면 보안 경고가 생성됩니다. 이러한 경고는 관련 조사 단계, 수정 작업, 보안 권장 사항과 더불어 의심스러운 활동의 세부 정보를 제공합니다.

Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 서비스에서 생성한 원격 분석 스트림을 지속적으로 분석하고 Microsoft Threat Intelligence 및 동작 모델과 교차하여 의심스러운 활동을 검색합니다. Azure Cosmos DB용 Defender는 Azure Cosmos DB 계정 데이터에 액세스하지 않으며 데이터베이스의 성능에 영향을 주지 않습니다.

Azure Cosmos DB용 Microsoft Defender에 대해 자세히 알아보세요.

Azure Cosmos DB에 대한 지원이 추가됨에 따라 클라우드용 Defender는 이제 클라우드 기반 데이터베이스에 대한 가장 포괄적인 워크로드 보호 제품 중 하나를 제공합니다. 보안 팀 및 데이터베이스 소유자는 이제 중앙 집중식 환경에서 해당 환경의 데이터베이스 보안을 관리할 수 있습니다.

데이터베이스에 대해 보호를 사용하도록 설정하는 방법을 알아봅니다.

AWS 및 GCP 환경용 컴퓨터의 SQL용 Defender의 GA(일반 공급)

클라우드용 Microsoft Defender에서 제공하는 데이터베이스 보호 기능에 AWS 또는 GCP 환경에서 호스트되는 SQL 데이터베이스에 대한 지원이 추가되었습니다.

이제 엔터프라이즈는 SQL용 Defender를 사용하여 Azure, AWS, GCP 및 온-프레미스 컴퓨터에서 호스트되는 전체 데이터 자산을 보호할 수 있습니다.

SQL용 Microsoft Defender는 SQL 서버 및 기본 Windows OS 모두에 대한 보안 권장 사항, 보안 경고, 취약성 평가 결과를 볼 수 있는 통합 다중 클라우드 환경을 제공합니다.

다중 클라우드 온보딩 환경을 사용하여 AWS EC2, RDS Custom for SQL Server 및 GCP 컴퓨팅 엔진에서 실행되는 SQL 서버에 대해 데이터베이스 보호를 사용하도록 설정하고 적용할 수 있습니다. 이러한 플랜 중 하나를 사용하도록 설정하면 구독 내에 존재하는 지원되는 모든 리소스가 보호됩니다. 동일한 구독에서 만들어진 향후 리소스도 보호됩니다.

클라우드용 Microsoft Defender로 AWS 환경GCP 조직을 보호하고 연결하는 방법을 알아보세요.

보안 태세 향상을 위한 보안 권장 사항 구현 추진

오늘날 조직에 대한 위협이 증가함에 따라 확장 중인 워크로드를 보호하기 위해 보안 담당자의 제한이 늘어나고 있습니다. 보안 팀은 보안 정책에 정의된 보호를 구현해야 합니다.

이제 거버넌스 환경이 미리 보기로 제공되므로, 보안 팀은 리소스 소유자에게 보안 수정 권장 사항을 할당하고 수정 일정을 요구할 수 있습니다. 수정 진행 상황에 대한 완전한 투명성을 확보하고 작업이 지연되면 알림을 받을 수 있습니다.

조직이 권장 사항 거버넌스를 사용하여 보안 문제를 해결하도록 추진에서 거버넌스 환경에 대해 자세히 알아보세요.

IP 주소별로 보안 경고 필터링

대부분 공격의 경우 사용자는 공격과 관련된 엔터티의 IP 주소를 기반으로 경고를 추적하려고 합니다. 지금까지 IP는 단일 경고 창의 "관련 엔터티" 섹션에만 표시되었습니다. 이제 보안 경고 창에서 경고를 필터링하여 IP 주소와 관련된 경고를 확인하고 특정 IP 주소를 검색할 수 있습니다.

클라우드용 Defender 경고의 IP 주소 필터 스크린샷.

리소스 그룹별 경고

리소스 그룹별로 필터링, 정렬 및 그룹화할 수 있는 기능이 보안 경고 페이지에 추가됩니다.

리소스 그룹 열이 경고 표에 추가됩니다.

새로 추가된 리소스 그룹 열의 스크린샷.

특정 리소스 그룹에 대한 모든 경고를 볼 수 있는 새 필터가 추가됩니다.

새 리소스 그룹 필터를 보여 주는 스크린샷.

이제 리소스 그룹별로 경고를 그룹화하여 각 리소스 그룹에 대한 모든 경고를 볼 수도 있습니다.

리소스 그룹별로 그룹화된 경고를 보는 방법을 보여 주는 스크린샷.

엔드포인트용 Microsoft Defender 통합 솔루션 자동 프로비전

지금까지 MDE(엔드포인트용 Microsoft Defender)와의 통합에는 서버용 Defender Plan 1이 사용하도록 설정된 컴퓨터(Azure 구독 및 다중 클라우드 커넥터) 및 서버용 Defender 플랜 2가 사용하도록 설정된 멀티클라우드 커넥터에 대한 MDE 통합 솔루션의 자동 설치가 포함되었습니다. Azure 구독을 위한 플랜 2는 Linux 컴퓨터와 Windows 2019 및 2022 서버에 대해서만 통합 솔루션을 사용하도록 설정했습니다. Windows 서버 2012R2 및 2016은 Log Analytics 에이전트에 종속된 MDE 레거시 솔루션을 사용했습니다.

이제 Azure 구독 및 다중 클라우드 커넥터 모두에 대해 두 계획의 모든 컴퓨터에서 새로운 통합 솔루션을 사용할 수 있습니다. 2022년 6월 20일 이후에 MDE 통합을 사용하도록 설정한 서버 플랜 2를 사용하는 Azure 구독의 경우 통합 페이지의 전용 단추를 통해 2022년 6월 20일 이전에 MDE 통합을 사용하도록 설정된 서버용 Defender 플랜 2를 사용하는 모든 컴퓨터에서 통합 솔루션이 기본적으로 사용하도록 설정됩니다.

서버용 Defender와 MDE 통합에 대해 자세히 알아봅니다.

“API 앱은 HTTPS를 통해서만 액세스할 수 있어야 함” 정책의 사용 중단

정책은 API App should only be accessible over HTTPS 더 이상 사용되지 않습니다. 이 정책은 정책으로 Web Application should only be accessible over HTTPS 바뀝니다. 이 정책의 이름은 .로 바뀝니다 App Service apps should only be accessible over HTTPS.

Azure App Service에 대한 정책 정의의 자세한 내용은 Azure App Service에 대한 Azure Policy 기본 제공 정의를 참조하세요.

새로운 Key Vault 경고

Key Vault용 Microsoft Defender에서 제공하는 위협 방지 기능을 확장하기 위해 두 가지 새로운 경고를 추가했습니다.

이러한 경고는 액세스 거부된 변칙을 알리고 모든 키 자격 증명 모음에 대해 검색됩니다.

경고(경고 유형) 설명 MITRE 전술 심각도
비정상적 액세스 거부됨 - 사용자가 대량의 키 자격 증명 모음에 액세스하는 것을 거부했습니다.
(KV_DeniedAccountVolumeAnomaly)		 사용자 또는 서비스 주체가 지난 24시간 동안 비정상적으로 많은 양의 키 자격 증명 모음에 대한 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 작업일 수 있습니다. 이 시도는 성공하지 못했지만 키 자격 증명 모음과 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도로 이어질 수 있습니다. 추가 조사를 권장합니다. 검색 낮음
비정상적 액세스 거부됨 - 비정상적인 사용자 액세스 키 자격 증명 모음 거부됨
(KV_UserAccessDeniedAnomaly)		 일반적으로 액세스하지 않는 사용자가 키 자격 증명 모음 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 작업일 수 있습니다. 이 시도는 성공하지 못했지만 키 자격 증명 모음과 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도로 이어질 수 있습니다. 초기 액세스, 검색 낮음

2022년 5월

5월의 업데이트 다음을 포함합니다.

이제 커넥터 수준에서 서버 계획의 다중 클라우드 설정을 사용할 수 있음

이제 다중 클라우드의 서버용 Defender에 대한 커넥터 수준 설정이 있습니다.

새 커넥터 수준 설정은 구독과 독립적으로 커넥터당 가격 책정 및 자동 프로비전 구성에 대한 세분성을 제공합니다.

커넥터 수준에서 사용할 수 있는 모든 자동 프로비전 구성 요소(Azure Arc, MDE 및 취약성 평가)는 기본적으로 사용하도록 설정되며, 새 구성은 플랜 1 및 플랜 2 가격 책정 계층을 모두 지원합니다.

UI의 업데이트에는 선택한 가격 책정 계층과 구성된 필수 구성 요소의 반영이 포함됩니다.

서버 계획 다중 클라우드 설정이 있는 기본 계획 페이지의 스크린샷.

다중 클라우드 커넥터가 활성화된 자동 프로비전 페이지의 스크린샷.

취약성 평가 변경

이제 컨테이너용 Defender는 패치할 수 없는 중간 수준 및 낮은 수준의 심각도가 있는 취약성을 표시합니다.

이 업데이트의 일부로 패치를 사용할 수 있는지 여부에 관계없이 심각도가 중간 및 낮은 수준의 취약성이 표시됩니다. 이 업데이트는 가시성을 최대화하지만 제공된 비활성화 규칙을 사용하여 원치 않는 취약성을 필터링할 수 있습니다.

사용 중지 규칙 화면의 스크린샷.

취약성 관리에 대해 자세히 알아보기

이제 AWS EC2 인스턴스에서 VM에 대한 JIT(Just-In-Time) 액세스를 사용할 수 있음(미리 보기)

AWS 계정을 연결할 때 JIT가 인스턴스의 보안 그룹의 네트워크 구성을 자동으로 평가하고 노출된 관리 포트에 대한 보호가 필요한 인스턴스를 권장합니다. 이는 JIT가 Azure에서 작동하는 방식과 비슷합니다. 보호되지 않는 EC2 인스턴스를 온보딩하면 JIT는 관리 포트에 대한 공용 액세스를 차단하고 제한된 시간 프레임에 대한 권한 있는 요청으로만 엽니다.

JIT가 AWS EC2 인스턴스를 보호하는 방법 알아보기

CLI를 사용하여 AKS 클러스터용 Defender 센서 추가 및 제거

Defender 에이전트는 Defender for Containers가 런타임 보호를 제공하고 노드에서 신호를 수집하는 데 필요합니다. 이제 Azure CLI 를 사용하여 AKS 클러스터에 대한 Defender 에이전트 를 추가하고 제거할 수 있습니다.

참고 항목

이 옵션은 Azure CLI 3.7 이상에 포함되어 있습니다.

2022년 4월

4월의 업데이트는 다음과 같습니다.

새 서버용 Defender 플랜

이제 서버용 Microsoft Defender가 두 가지 증분 플랜으로 제공됩니다.

  • 서버용 Defender 플랜 2(이전의 서버용 Defender)
  • 서버용 Defender 플랜 1은 엔드포인트용 Microsoft Defender만 지원합니다.

서버용 Microsoft Defender 플랜 2는 클라우드 및 온-프레미스 워크로드에 대한 위협과 취약성으로부터 계속 보호해 주지만, 서버용 Microsoft Defender 플랜 1은 기본적으로 통합된 엔드포인트용 Defender에서 제공한 엔드포인트만 보호해 줍니다. 서버용 Defender 플랜에 대해 자세히 알아봅니다.

지금까지 서버용 Defender를 사용해 왔다면 아무 작업도 필요하지 않습니다.

클라우드용 Defender는 Windows Server 2012 R2 및 2016의 엔드포인트용 Defender 통합 에이전트에 대한 점진적인 지원도 시작합니다. 서버용 Defender 플랜 1은 Windows Server 2012 R2 및 2016 워크로드에 새로운 통합 에이전트를 배포합니다.

사용자 지정 권장 사항 재배치

사용자 지정 권장 사항은 사용자가 만든 권장 사항으로, 보안 점수에 영향을 주지 않습니다. 이제 모든 권장 사항 탭에서 사용자 지정 권장 사항을 확인할 수 있습니다.

새 ‘권장 사항 유형’ 필터를 이용해 사용자 지정 권장 사항을 찾습니다.

사용자 지정 보안 이니셔티브 및 정책 만들기에서 자세히 알아봅니다.

Splunk 및 IBM QRadar로 경고를 스트리밍하는 PowerShell 스크립트

Event Hubs 및 기본 제공 커넥터를 사용하여 Splunk 및 IBM QRadar로 보안 경고를 내보내는 것이 좋습니다. 이제 PowerShell 스크립트를 사용하여 구독 또는 테넌트에 대한 보안 경고를 내보내는 데 필요한 Azure 리소스를 설정할 수 있습니다.

PowerShell 스크립트를 다운로드하여 실행하기만 하면 합니다. 몇 가지 환경 세부 정보를 제공하면 스크립트에서 리소스를 구성합니다. 그러면 스크립트가 SIEM 플랫폼에서 통합을 완료하는 데 사용하는 출력을 생성합니다.

자세히 알아보려면 Splunk 및 QRadar에 경고 스트림을 참조하세요.

Azure Cache for Redis 권장 사항이 사용되지 않음

권장 사항 Azure Cache for Redis should reside within a virtual network (미리 보기)은 더 이상 사용되지 않습니다. Microsoft는 Azure Cache for Redis 인스턴스를 보호하기 위한 참고 자료를 변경했습니다. 프라이빗 엔드포인트를 사용해 가상 네트워크 대신 Azure Cache for Redis 인스턴스에 대한 액세스를 제한하는 것이 좋습니다.

중요한 데이터의 노출을 검색하기 위한 스토리지용 Microsoft Defender(미리 보기)의 새로운 경고 변형

스토리지용 Microsoft Defender의 경고는 성공 여부를 불문하고 위협 행위자가 중요한 정보를 유출하기 위해 공개적으로 잘못 구성된 개방형 스토리지 컨테이너를 검사 및 노출하려고 시도하는 경우 사용자에게 알려 줍니다.

잠재적으로 중요한 데이터가 유출될 수 있는 경우 심사/응답 시간을 단축하기 위해 기존 Publicly accessible storage containers have been exposed 경고에 대한 새로운 변형을 릴리스했습니다.

새 경고 Publicly accessible storage containers with potentially sensitive data have been exposed는 통계적으로 거의 공개적으로 노출되지 High 않는 이름이 있는 공개적으로 열린 스토리지 컨테이너를 성공적으로 검색한 후 심각도 수준으로 트리거되며, 이는 중요한 정보를 보유할 수 있음을 시사합니다.

경고(경고 유형) 설명 MITRE 전술 심각도
미리 보기 - 잠재적으로 중요한 데이터가 포함된, 공개적으로 액세스할 수 있는 스토리지 컨테이너가 노출됨
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)		 누군가 Azure Storage 계정과 공개 액세스를 허용하는 노출된 컨테이너를 검사했습니다. 하나 이상의 노출된 컨테이너에 중요한 데이터가 포함될 수 있음을 나타내는 이름이 있습니다.

이는 일반적으로 중요한 데이터를 포함할 수 있는, 공개적으로 잘못 구성된 액세스 가능한 스토리지 컨테이너를 검색하는 위협 행위자의 정찰을 나타냅니다.

위협 행위자가 컨테이너를 성공적으로 검색하면 계속해서 데이터를 유출할 수 있습니다.
✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2		 컬렉션 높음

IP 주소 평판으로 보강된 컨테이너 검사 경고 제목

IP 주소의 평판은 검사 활동이 알려진 위협 행위자에게서 비롯된 것인지, 아니면 Tor 네트워크를 사용해 ID를 숨기는 행위자에게서 비롯된 것인지를 나타낼 수 있습니다. 이 두 지표는 모두 악의적인 의도가 있음을 시사합니다. IP 주소의 평판은 Microsoft 위협 인텔리전스에서 제공합니다.

경고 제목에 IP 주소의 평판을 추가하면 행위자의 의도와 위협의 심각도를 신속하게 평가할 수 있습니다.

다음 경고에 포함된 정보는 아래와 같습니다.

  • Publicly accessible storage containers have been exposed

  • Publicly accessible storage containers with potentially sensitive data have been exposed

  • Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

예를 들어 Publicly accessible storage containers have been exposed 경고의 제목에 추가된 정보는 다음과 같습니다.

  • Publicly accessible storage containers have been exposedby a suspicious IP address

  • Publicly accessible storage containers have been exposedby a Tor exit node

스토리지용 Microsoft Defender에 대한 모든 경고는 경고의 관련 엔터티 섹션 아래에 있는 IP 엔터티에 위협 인텔리전스 정보를 계속 포함합니다.

보안 경고와 관련된 활동 로그 보기

보안 경고를 평가하기 위해 수행할 수 있는 작업의 일부로 리소스 컨텍스트 검사에서 관련 플랫폼 로그를 찾아 영향을 받는 리소스에 대한 컨텍스트를 얻을 수 있습니다. 클라우드용 Microsoft Defender는 경고 발생 1일 이내의 플랫폼 로그를 식별합니다.

플랫폼 로그는 보안 위협을 평가하고 식별된 위험을 완화하기 위해 수행할 수 있는 단계를 식별하는 데 도움이 될 수 있습니다.

2022년 3월

3월의 업데이트 다음과 같습니다.

AWS 및 GCP 환경에 대한 보안 점수의 글로벌 가용성

클라우드용 Microsoft Defender에서 제공하는 클라우드 보안 태세 관리 기능에는 현재 보안 점수 내에 AWS 및 GCP 환경에 대한 지원이 추가되었습니다.

이제 기업은 Azure, AWS, GCP 같은 다양한 환경에서 전반적인 보안 태세를 볼 수 있습니다.

보안 점수 페이지가 보안 상태 대시보드로 대체됩니다. 보안 태세 대시보드를 사용하면 모든 환경에 대한 전체 결합 점수를 보거나, 선택한 환경의 조합에 따라 보안 태세를 분석할 수 있습니다.

또한 권장 사항 페이지는 클라우드 환경 선택, 콘텐츠 기반 고급 필터(리소스 그룹, AWS 계정, GCP 프로젝트 등), 저해상도에서 향상된 사용자 인터페이스, 리소스 그래프에서 열린 쿼리 지원 등과 같은 새로운 기능을 제공하도록 다시 디자인되었습니다. 전반적인 보안 태세보안 권장 사항에 대해 자세히 알아볼 수 있습니다.

네트워크 트래픽 데이터 수집 에이전트 설치 권장 사항 더 이상 사용되지 않음

로드맵 및 우선 순위의 변경으로 인해 네트워크 트래픽 데이터 수집 에이전트가 필요하지 않게 되었습니다. 다음의 두 가지 권장 사항과 관련 정책은 더 이상 사용되지 않습니다.

추천 설명 심각도
Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 클라우드용 Microsoft Defender에서는 Microsoft Dependency Agent를 사용하여 Azure Virtual Machines에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협 같은 고급 네트워크 보호 기능을 사용할 수 있게 해줍니다. 중간
Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 합니다. 클라우드용 Microsoft Defender에서는 Microsoft Dependency Agent를 사용하여 Azure Virtual Machines에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협 같은 고급 네트워크 보호 기능을 사용할 수 있게 해줍니다. 중간

컨테이너용 Defender는 이제 Windows 이미지의 취약성을 검사할 수 있습니다(미리 보기)

컨테이너용 Defender의 이미지 검사는 이제 Azure Container Registry에서 호스팅되는 Windows 이미지를 지원합니다. 이 기능은 미리 보기 중에는 무료이며 일반적으로 사용할 수 있게 되면 비용이 발생합니다.

컨테이너용 Microsoft Defender를 사용하여 이미지에서 취약성 검사에서 자세히 알아보세요.

스토리지용 Microsoft Defender(미리 보기)에 대한 새로운 경고

스토리지용 Microsoft Defender에서 제공하는 위협 방지 기능을 확장하기 위해 새로운 미리 보기 경고를 추가했습니다.

공격자는 애플리케이션과 도구를 사용하여 스토리지 계정을 검색하고 액세스합니다. 스토리지용 Microsoft Defender는 이러한 애플리케이션과 도구를 검색하여 사용자가 차단하고 상태를 수정할 수 있도록 합니다.

이 미리 보기 경고를 Access from a suspicious application이라고 합니다. 경고는 Azure Blob Storage 및 ADLS Gen2에만 관련됩니다.

경고(경고 유형) 설명 MITRE 전술 심각도
미리 보기 - 의심스러운 애플리케이션에서 액세스
(Storage.Blob_SuspiciousApp)		 의심스러운 애플리케이션이 인증을 사용하여 스토리지 계정의 컨테이너에 성공적으로 액세스했음을 나타냅니다.
이는 공격자가 계정에 액세스하는 데 필요한 자격 증명을 얻었고 이를 악용하고 있음을 나타내는 것일 수 있습니다. 이는 또한 조직에서 수행된 침투 테스트의 표시일 수 있습니다.
적용 대상: Azure Blob Storage, Azure Data Lake Storage Gen2		 Initial Access 중간

경고로 인한 이메일 알림 설정 구성

현재 구독에서 트리거되는 경고에 대한 메일 알림 받을 사용자를 보고 편집할 수 있는 경고 UI(사용자 인터페이스)에 새 섹션이 추가되었습니다.

이메일 알림을 구성하는 방법을 보여 주는 새 UI 스크린샷

보안 경고에 대한 이메일 알림 구성 방법에 대해 알아봅니다.

사용되지 않는 미리 보기 경고: ARM.MCAS_ActivityFromAnonymousIPAddresses

다음 미리 보기 경고는 더 이상 사용되지 않습니다.

경고 이름 설명
미리 보기 - 위험한 IP 주소의 활동
(ARM. MCAS_ActivityFromAnonymousIPAddresses)		 익명 프록시 IP 주소로 식별된 IP 주소의 사용자 활동이 검색되었습니다.
이 프록시는 해당 장치의 IP 주소를 숨기려는 사용자가 사용하며 악의적인 의도로 사용될 수 있습니다. 이 검색은 조직의 사용자가 널리 사용하는 잘못된 태그가 지정된 IP 주소와 같은 가양성(false positives)을 줄이는 기계 학습 알고리즘을 사용합니다.
활성 Microsoft Defender for Cloud Apps 라이선스가 필요합니다.

이 정보를 제공하고 여기에 추가하는 새 경고가 생성되었습니다. 또한 최신 경고(ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP)에는 Microsoft Defender for Cloud Apps(이전의 Microsoft Cloud App Security)에 대한 라이선스가 필요하지 않습니다.

Resource Manager에 대한 추가 경고를 참조하세요.

컨테이너 보안 구성의 취약성을 보안 점수에서 모범 사례로 수정하라는 권장 사항을 이동했습니다.

권장 사항은 Vulnerabilities in container security configurations should be remediated 보안 점수 섹션에서 모범 사례 섹션으로 이동되었습니다.

현재 사용자 환경은 모든 규정 준수 검사를 통과한 경우에만 점수를 제공합니다. 대부분의 고객은 필요한 모든 확인 사항을 충족하는 데 어려움을 겪습니다. Microsoft는 이 권장 사항에 맞게 개선된 환경을 제공하기 위해 노력하고 있으며, 릴리스되면 권장 사항이 보안 점수로 다시 이동됩니다.

서비스 주체를 사용하여 구독을 보호하라는 권장 사항 더 이상 사용되지 않음

조직이 구독을 관리하는 데 관리 인증서를 사용하지 않는 추세와 클라우드 서비스(클래식) 배포 모델을 사용 중지한다는 최근 발표에 따라 다음 클라우드용 Defender 권장 사항 및 관련 정책은 더 이상 사용하지 않습니다.

추천 설명 심각도
서비스 주체를 사용하여 관리 인증서 대신 구독을 보호해야 합니다. 관리 인증서를 사용하면 해당 인증서로 인증된 사람은 누구나 연결된 구독을 관리할 수 있습니다. 구독을 보다 안전하게 관리하려면 Resource Manager에서 서비스 주체를 사용하여 인증서 손상 시 폭발 반경을 제한하는 것이 좋습니다. 또한 리소스 관리를 자동화합니다.
(관련 정책: 서비스 주체를 사용하여 관리 인증서 대신 구독을 보호해야 합니다.		 중간

자세히 보기:

ISO 27001의 레거시 구현이 새 ISO 27001:2013 이니셔티브로 바뀜

ISO 27001의 레거시 구현은 클라우드용 Defender 규정 준수 대시보드에서 제거되었습니다. 클라우드용 Defender에 대한 ISO 27001 준수를 추적하는 경우 모든 관련 관리 그룹 또는 구독에 대한 새로운 ISO 27001:2013 표준을 온보딩합니다.

ISO 27001의 레거시 구현을 제거하는 방법에 대한 메시지를 보여주는 Defender for Cloud의 규정 준수 대시보드.

사용되지 않는 IoT용 Microsoft Defender 디바이스 권장 사항

IoT 디바이스 권장 사항용 Microsoft Defender는 클라우드용 Microsoft Defender에서 더 이상 표시되지 않습니다. 이러한 권장 사항은 IoT용 Microsoft Defender의 권장 사항 페이지에서 계속 사용할 수 있습니다.

다음 권장 사항은 더 이상 사용되지 않습니다.

평가 키 권장 사항
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT 디바이스 디바이스에서 포트 열기
ba975338-f956-41e7-a9f2-7614832d382d: IoT 디바이스 입력 체인 중 하나에서 허용 방화벽 규칙을 찾음
beb62be3-5e78-49bd-ac5f-099250ef3c7c: IoT 디바이스 체인 중 하나에서 허용 방화벽 정책을 찾았습니다.
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT 디바이스 출력 체인 중 하나에서 허용 방화벽 규칙을 찾았습니다.
5f65e47f-7a00-4bf3-acae-90ee441ee876: IoT 디바이스 운영 체제 기준 유효성 검사 실패
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT 디바이스 사용률이 낮은 메시지를 보내는 에이전트
2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT 디바이스 TLS 암호 제품군 업그레이드 필요
d74d2738-2485-4103-9919-69c7e63776ec: IoT 디바이스 감사 프로세스가 이벤트 전송을 중지했습니다.

사용되지 않는 IoT용 Microsoft Defender 디바이스 경고

모든 IoT용 Microsoft Defender 디바이스 경고는 더 이상 클라우드용 Microsoft Defender에 표시되지 않습니다. 이러한 경고는 IoT용 Microsoft Defender 경고 페이지와 Microsoft Sentinel에서 계속 사용할 수 있습니다.

GA(일반 공급)용으로 릴리스된 AWS 및 GCP에 대한 태세 관리와 위협 방지

  • 클라우드용 Defender의 CSPM 기능은 AWS 및 GCP 리소스로 확장됩니다. 이 에이전트 없는 플랜은 보안 점수에 포함되는 클라우드별 보안 권장 사항에 따라 다중 클라우드 리소스를 평가합니다. 리소스는 기본 제공 표준을 사용하여 규정 준수를 평가합니다. 클라우드용 Defender의 자산 인벤토리 페이지는 Azure 리소스와 함께 AWS 리소스를 관리할 수 있는 다중 클라우드 지원 기능입니다.

  • 서버용 Microsoft Defender는 AWS 및 GCP의 컴퓨팅 인스턴스에 위협 검색 및 고급 방어 기능을 제공합니다. 서버용 Defender 플랜에는 엔드포인트용 Microsoft Defender, 취약성 평가 검사 등에 대한 통합 라이선스가 포함되어 있습니다. 가상 머신과 서버에 지원되는 모든 기능에 대해 알아보세요. 자동 온보딩 기능을 통해 사용자 환경에서 검색된 기존의 또는 새로운 컴퓨팅 인스턴스를 쉽게 연결할 수 있습니다.

클라우드용 Microsoft Defender로 AWS 환경GCP 조직을 보호하고 연결하는 방법을 알아보세요.

ACR에서 Windows 이미지에 대한 레지스트리 검사에는 국가별 클라우드에 대한 지원이 추가됨

이제 21Vianet에서 운영하는 Azure Government 및 Microsoft Azure에서 Windows 이미지에 대한 레지스트리 검색이 지원됩니다. 이 추가 기능은 현재 미리 보기로 제공됩니다.

기능의 가용성에 대해 자세히 알아보세요.

2022년 2월

2월의 업데이트 다음과 같습니다.

Arc 지원 Kubernetes 클러스터에 대한 Kubernetes 워크로드 보호

이전에 컨테이너용 Defender는 Azure Kubernetes Service에서 실행되는 Kubernetes 워크로드만 보호했습니다. 이제 Azure Arc 지원 Kubernetes 클러스터를 포함하도록 보호 범위를 확장했습니다.

AKS 및 Azure Arc 지원 Kubernetes 클러스터에 대해 Kubernetes 워크로드 보호를 설정하는 방법을 알아봅니다.

GCP용 네이티브 CSPM 및 GCP 컴퓨팅 인스턴스용 위협 방지

GCP 환경의 새로운 자동화된 온보딩을 통해 클라우드용 Microsoft Defender로 GCP 워크로드를 보호할 수 있습니다. 클라우드용 Defender는 다음 플랜으로 리소스를 보호합니다.

  • 클라우드용 Defender의 CSPM 기능은 GCP 리소스로 확장됩니다. 이 에이전트 없는 플랜은 클라우드용 Defender와 함께 제공되는 GCP별 보안 권장 사항에 따라 GCP 리소스를 평가합니다. GCP 권장 사항은 보안 점수에 포함되며 리소스는 기본 제공되는 GCP CIS 표준을 준수하는지 평가됩니다. 클라우드용 Defender의 자산 인벤토리 페이지는 Azure, AWS 및 GCP에서 리소스를 관리할 수 있도록 하는 다중 클라우드 지원 기능입니다.

  • 서버용 Microsoft Defender는 GCP 컴퓨팅 인스턴스에 위협 검색 및 고급 방어 기능을 제공합니다. 이 플랜에는 엔드포인트용 Microsoft Defender, 취약성 평가 검사 등에 대한 통합 라이선스가 포함됩니다.

    사용 가능한 기능의 전체 목록은 가상 머신 및 서버에 지원되는 기능을 참조하세요. 자동 온보딩 기능을 사용하면 환경에서 발견된 기존 및 새로운 컴퓨팅 인스턴스를 쉽게 연결할 수 있습니다.

클라우드용 Microsoft Defender를 사용하여 보호하고 GCP 프로젝트를 연결하는 방법을 알아봅니다.

미리 보기용으로 릴리스된 Azure Cosmos DB용 Microsoft Defender 플랜

클라우드용 Microsoft Defender의 데이터베이스 적용 범위를 확장했습니다. 이제 Azure Cosmos DB 데이터베이스에 대한 보호를 사용하도록 설정할 수 있습니다.

Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정의 데이터베이스를 악용하려는 모든 시도를 검색하는 Azure 네이티브 보안 계층입니다. Azure Cosmos DB용 Microsoft Defender는 잠재적인 SQL 삽입, Microsoft 위협 인텔리전스 기반의 알려진 악의적인 행위자, 의심스러운 액세스 패턴, 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스 악용 가능성을 감지합니다.

Azure Cosmos DB 서비스에서 생성된 고객 데이터 스트림을 지속적으로 분석합니다.

잠재적으로 악의적인 활동이 감지되면 보안 경고가 생성됩니다. 이러한 경고는 관련 조사 단계, 수정 작업, 보안 권장 사항에 더불어 의심스러운 활동의 세부 정보와 함께 클라우드용 Microsoft Defender에 표시됩니다.

Azure Cosmos DB용 Defender는 Azure Cosmos DB 계정 데이터에 액세스하지 않으므로 서비스를 사용하도록 설정해도 데이터베이스 성능에는 영향이 없습니다.

Azure Cosmos DB용 Microsoft Defender 개요에서 자세히 알아봅니다.

또한 데이터베이스 보안을 위한 새로운 사용 환경을 도입하고 있습니다. 이제 구독에서 클라우드용 Microsoft Defender 보호를 사용하도록 설정하여 하나의 사용 설정 프로세스를 통해 Azure Cosmos DB, Azure SQL Database, 컴퓨터의 Azure SQL Server, 오픈 소스 관계형 데이터베이스용 Microsoft Defender와 같은 모든 데이터베이스 형식을 보호할 수 있습니다. 플랜을 구성하여 특정 리소스 종류를 포함하거나 제외할 수 있습니다.

구독 수준에서 데이터베이스 보안을 사용하도록 설정하는 방법을 알아봅니다.

GKE(Google Kubernetes Engine) 클러스터에 대한 위협 방지

최근 발표된 GCP용 네이티브 CSPM 및 GCP용 위협 방지 컴퓨팅 인스턴스에 따라 컨테이너용 Microsoft Defender는 Kubernetes 위협 방지, 동작 분석 및 네이티브 제공 허용 제어 정책을 GKE(Google Kubernetes Engine) 표준 클러스터로 확장했습니다. 자동 온보딩 기능을 통해 기존 또는 새 GKE 표준 클러스터를 환경에 쉽게 온보딩할 수 있습니다. 사용 가능한 전체 기능 목록은 클라우드용 Microsoft Defender를 사용한 컨테이너 보안을 확인하세요.

2022년 1월

1월의 업데이트 다음을 포함합니다.

Microsoft Defender for Resource Manager가 새로운 경고로 업데이트되었으며 MITRE ATT&CK® Matrix에 매핑된 고위험 작업에 더 중점을 두었습니다.

클라우드 관리 계층은 모든 클라우드 리소스에 연결된 중요한 서비스입니다. 이 때문에 공격자의 잠재적 대상이기도 합니다. 보안 운영 팀이 리소스 관리 계층을 면밀히 모니터링하는 것이 좋습니다.

Microsoft Defender for Resource Manager는 Azure Portal, Azure REST API, Azure CLI 또는 다른 Azure 프로그래밍 클라이언트를 통해 수행되는지 여부와 관계없이 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Defender for Cloud는 고급 보안 분석을 실행하여 위협을 감지하고 의심스러운 활동에 대해 경고합니다.

이 플랜의 보호 기능은 공격자의 공격에 대한 조직의 복원력을 크게 향상시키고 클라우드용 Defender가 보호하는 Azure 리소스의 수를 크게 늘립니다.

2020년 12월에 Resource Manager용 Defender의 미리 보기를 도입했으며 해당 플랜은 2021년 5월에 일반 공급용으로 릴리스되었습니다.

이 업데이트를 통해 Resource Manager용 Microsoft Defender 플랜의 초점을 포괄적으로 수정했습니다. 업데이트된 플랜에는 위험도가 높은 작업의 의심스러운 호출을 식별하는 데 중점을 둔 많은 새로운 경고가 포함되어 있습니다. 이러한 새로운 경고는 클라우드 기반 기술에 대한 전체MITRE ATT&CK® 매트릭스의 공격에 대한 광범위한 모니터링을 제공합니다.

이 매트릭스는 조직의 리소스를 대상으로 삼을 수 있는 공격자의 잠재적 영향 범위를 다룹니다. 초기 액세스, 실행, 지속성, 권한 상승, 방어 회피, 자격 증명 액세스, 검색, 측면 이동, 컬렉션, 유출 및 영향.

이 Defender 플랜에 대한 새로운 경고는 다음 표와 같이 이러한 의도를 다룹니다.

이러한 경고는 경고 참조 페이지에도 나타납니다.

경고(경고 유형) 설명 MITRE 전술(의도) 심각도
위험 수준이 높은 ‘초기 액세스’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.InitialAccess)		 Resource Manager용 Microsoft Defender는 구독에서 제한된 리소스에 액세스하려는 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 해당 환경에 효율적으로 액세스할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 사용자 환경의 제한된 리소스에 대한 초기 액세스 권한을 얻을 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. Initial Access 중간
고위험 '실행' 작업의 의심스러운 호출이 검색됨(미리 보기)
(ARM_AnomalousOperation.Execution)		 Resource Manager용 Microsoft Defender는 구독의 컴퓨터에서 코드 실행 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경의 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 실행 중간
고위험 '지속성' 작업의 의심스러운 호출이 검색됨(미리 보기)
(ARM_AnomalousOperation.Persistence)		 Resource Manager용 Microsoft Defender는 구독에서 지속성을 설정하려는 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 환경에서 지속성을 설정할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 지속성 중간
고위험 '권한 상승' 작업의 의심스러운 호출이 검색됨(미리 보기)
(ARM_AnomalousOperation.PrivilegeEscalation)		 Resource Manager용 Microsoft Defender는 구독에서 권한 상승 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키면서 권한을 상승시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 권한 상승 중간
고위험 '방어 회피' 작업의 의심스러운 호출이 검색됨(미리 보기)
(ARM_AnomalousOperation.DefenseEvasion)		 Resource Manager용 Microsoft Defender는 구독에서 방어를 회피하려는 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경의 보안 태세를 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키는 동안 검색되지 않도록 할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 방어 회피 중간
위험 수준이 높은 ‘자격 증명 액세스’ 작업의 의심스러운 호출 감지됨(미리 보기)
(ARM_AnomalousOperation.CredentialAccess)		 Resource Manager용 Microsoft Defender는 구독에서 의심스러운 고위험 작업 호출을 식별했으며 이는 자격 증명에 액세스하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 해당 환경에 효율적으로 액세스할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경의 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 자격 증명 액세스 중간
고위험 '측면 이동' 작업의 의심스러운 호출이 검색됨(미리 보기)
(ARM_AnomalousOperation.LateralMovement)		 Resource Manager용 Microsoft Defender는 구독에서 고위험 작업의 의심스러운 호출을 식별했으며 이는 측면 이동을 수행하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 사용자 환경의 추가 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 수평 이동 중간
고위험 '데이터 컬렉션' 작업의 의심스러운 호출이 검색됨(미리 보기)
(ARM_AnomalousOperation.Collection)		 Resource Manager용 Microsoft Defender는 구독에서 데이터 수집 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 환경의 리소스에 대한 중요한 데이터를 수집할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 컬렉션 중간
고위험 '영향' 작업의 의심스러운 호출이 검색됨(미리 보기)
(ARM_AnomalousOperation.Impact)		 Resource Manager용 Microsoft Defender는 구독에서 구성 변경 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 작업은 합법적일 수 있지만 공격자는 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경의 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다. 영향 중간

또한 이 플랜의 다음 두 가지 경고가 미리 보기에서 제외되었습니다.

경고(경고 유형) 설명 MITRE 전술(의도) 심각도
의심스러운 IP 주소에서 Azure Resource Manager 작업
(ARM_OperationFromSuspiciousIP)		 Resource Manager용 Microsoft Defender는 위협 인텔리전스 피드에서 의심스러운 것으로 표시된 IP 주소에서 작업을 발견했습니다. 실행 중간
의심스러운 프록시 IP 주소에서 Azure Resource Manager 작업
(ARM_OperationFromSuspiciousProxyIP)		 Resource Manager용 Azure Defender가 TOR과 같은 프록시 서비스와 연결된 IP 주소에서의 리소스 관리 작업을 감지했습니다. 이 동작은 합법적일 수 있지만 위협 행위자가 원본 IP를 숨기려고 할 때 악의적인 활동에서 자주 볼 수 있습니다. 방어 회피 중간

작업 영역에서 Microsoft Defender 플랜을 사용하도록 설정하기 위한 권장 사항(미리 보기)

서버용 Microsoft Defender컴퓨터에 있는 SQL용 Microsoft Defender에서 제공하는 모든 보안 기능을 활용하려면, 구독과 작업 영역 수준에서 모두 플랜을 사용해야 합니다.

컴퓨터가 이러한 플랜 중 하나가 사용하도록 설정된 구독에 있는 경우 전체 보호에 대한 요금이 청구됩니다. 그러나 해당 컴퓨터가 플랜이 사용하도록 설정되지 않은 작업 영역에 보고하는 경우 실제로 이러한 혜택을 받지 못합니다.

이러한 플랜이 사용하도록 설정되지 않은 작업 영역을 강조하는 두 가지 권장 사항을 추가했습니다. 그럼에도 불구하고 플랜이 사용하도록 설정된 구독에서 작업 영역에 보고하는 컴퓨터가 있습니다.

둘 다 자동화된 해결('수정' 작업)을 제공하는 두 가지 권장 사항은 다음과 같습니다.

추천 설명 심각도
작업 영역에서 서버용 Microsoft Defender를 사용해야 합니다. 서버용 Microsoft Defender는 Windows/Linux 컴퓨터를 위한 위협 검색 및 고급 방어 기능을 제공합니다.
이 플랜이 구독에서는 사용되지만 작업 영역에서는 사용되지 않는 상태라면 서버용 Microsoft Defender의 전체 기능에 대해 비용을 지불하고 있음에도 불구하고 일부 이점을 놓치게 됩니다.
작업 영역에서 서버용 Microsoft Defender를 사용하는 경우 해당 작업 영역에 보고하는 모든 컴퓨터에 서버용 Microsoft Defender 요금이 청구됩니다. 이는 Defender 플랜이 사용되지 않는 구독에 있는 경우에도 마찬가지입니다. 또한 구독에서 서버용 Microsoft Defender를 사용하지 않는 한, 해당 컴퓨터는 Azure 리소스에 대한 Just-In-Time VM 액세스, 적응형 애플리케이션 제어, 네트워크 검색 기능을 활용할 수 없습니다.
서버용 Microsoft Defender 개요에서 자세히 알아봅니다.
(관련 정책 없음)		 중간
작업 영역에서 컴퓨터의 SQL용 Microsoft Defender를 사용하도록 설정해야 합니다. 서버용 Microsoft Defender는 Windows/Linux 컴퓨터를 위한 위협 검색 및 고급 방어 기능을 제공합니다.
이 플랜이 구독에서는 사용되지만 작업 영역에서는 사용되지 않는 상태라면 서버용 Microsoft Defender의 전체 기능에 대해 비용을 지불하고 있음에도 불구하고 일부 이점을 놓치게 됩니다.
작업 영역에서 서버용 Microsoft Defender를 사용하는 경우 해당 작업 영역에 보고하는 모든 컴퓨터에 서버용 Microsoft Defender 요금이 청구됩니다. 이는 Defender 플랜이 사용되지 않는 구독에 있는 경우에도 마찬가지입니다. 또한 구독에서 서버용 Microsoft Defender를 사용하지 않는 한, 해당 컴퓨터는 Azure 리소스에 대한 Just-In-Time VM 액세스, 적응형 애플리케이션 제어, 네트워크 검색 기능을 활용할 수 없습니다.
서버용 Microsoft Defender 개요에서 자세히 알아봅니다.
(관련 정책 없음)		 중간

Azure Arc 지원 머신에 Log Analytics 에이전트 자동 프로비전(미리 보기)

클라우드용 Defender는 Log Analytics 에이전트를 사용하여 컴퓨터에서 보안 관련 데이터를 수집합니다. 에이전트는 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석을 위해 데이터를 작업 영역에 복사합니다.

클라우드용 Defender 자동 프로비전 설정에는 Log Analytics 에이전트를 포함하여 지원되는 각 확장 유형에 대한 토글이 있습니다.

하이브리드 클라우드 기능을 추가로 확장할 때 Log Analytics 에이전트를 Azure Arc에 연결된 머신으로 자동 프로비전하는 옵션이 추가되었습니다.

다른 자동 프로비전 옵션과 마찬가지로 구독 수준에서 구성됩니다.

이 옵션을 사용하도록 설정하면 작업 영역을 묻는 메시지가 표시됩니다.

참고 항목

이 미리 보기의 경우 클라우드용 Defender에서 만든 기본 작업 영역을 선택할 수 없습니다. Azure Arc 지원 서버에 사용할 수 있는 전체 보안 기능 집합을 받으려면 선택한 작업 영역에 관련 보안 솔루션이 설치되어 있는지 확인합니다.

Log Analytics 에이전트를 Azure Arc 지원 머신으로 자동 프로비전하는 방법의 스크린샷.

SQL 데이터베이스에서 중요한 정보를 분류하기 위한 권장 사항은 더 이상 사용되지 않음

클라우드용 Defender가 클라우드 리소스에서 중요한 날짜를 식별하고 보호하는 방법에 대한 정밀 검사의 일환으로 SQL 데이터베이스의 중요한 데이터를 분류해야 함 권장 사항을 제거했습니다.

이 변경 내용에 대한 사전 공지는 클라우드용 Microsoft Defender의 중요 변경 내용 페이지에 지난 6개월 동안 표시되었습니다.

다음 경고는 이전에 DNS용 Microsoft Defender 플랜을 사용하도록 설정한 조직에서만 사용할 수 있었습니다.

이 업데이트를 사용하면 서버용 Microsoft Defender 또는 App Service용 Defender 플랜이 사용되는 구독에 대한 경고도 표시됩니다.

또한 Microsoft 위협 인텔리전스는 알려진 악성 도메인 목록을 확장하여 Log4j와 관련해서 널리 알려진 취약성 악용과 관련된 도메인을 포함합니다.

경고(경고 유형) 설명 MITRE 전술 심각도
위협 인텔리전스에서 식별된 의심스러운 도메인과의 통신
(AzureDNS_ThreatIntelSuspectDo기본)		 리소스에서 DNS 트랜잭션을 분석하고 위협 인텔리전스 피드로 식별된 알려진 악의적인 do기본와 비교하여 의심스러운 do기본와의 통신이 검색되었습니다. 공격자가 악성 도메인과의 통신을 수행하는 경우가 많고, 리소스가 손상되었음을 의미할 수 있습니다. 초기 액세스/지속성/실행/명령 및 제어/악용 중간

보안 경고 세부 정보 창에 '경고 JSON 복사' 단추가 추가됨

사용자가 다른 사용자(예: SOC 분석가, 리소스 소유자 및 개발자)와 경고 세부 정보를 빠르게 공유할 수 있도록 보안 경고 세부 정보 창에서 하나의 단추로 특정 경고의 모든 세부 정보를 쉽게 추출하는 기능을 추가했습니다.

새로운 경고 JSON 복사 단추는 JSON 형식의 경고 세부 정보를 사용자의 클립보드에 저장합니다.

경고 세부 정보 창의 '경고 JSON 복사' 단추에 대한 스크린샷

권장 사항 2개의 이름이 변경됨

다른 권장 사항 이름과의 일관성을 위해 다음 두 가지 권장 사항의 이름을 변경했습니다.

  • 실행 중인 컨테이너 이미지에서 발견된 취약성 해결을 위한 권장 사항

    • 이전 이름: 컨테이너 이미지 실행의 취약성을 수정해야 함(Qualys 제공)
    • 새 이름: 컨테이너 이미지를 실행하면 취약성 발견 항목이 해결되어야 합니다.

  • Azure App Service에 대한 진단 로그를 사용하도록 설정하기 위한 권장 사항

    • 이전 이름: App Service에서 진단 로그를 사용하도록 설정해야 합니다.
    • 새 이름: App Service의 진단 로그를 사용하도록 설정해야 합니다.

사용되지 않는 Kubernetes 클러스터 컨테이너는 허용된 포트 정책에서만 수신 대기해야 합니다.

Kubernetes 클러스터 컨테이너는 허용된 포트에서만 수신 대기해야 함 권장 사항은 더 이상 사용하지 않습니다.

정책 이름 설명 효과 버전
Kubernetes 클러스터 컨테이너는 허용된 포트에서만 수신 대기해야 합니다. 허용된 포트에서만 수신 대기하도록 컨테이너를 제한하여 Kubernetes 클러스터에 대한 액세스를 보호합니다. 이 정책은 일반적으로 AKS(Kubernetes Service)에서 사용할 수 있으며 AKS 엔진 및 Azure Arc 지원 Kubernetes에 대한 미리 보기입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 6.1.2

서비스는 허용된 포트에서만 수신 대기해야 함 권장 사항은 애플리케이션이 인터넷에 노출하는 포트를 제한하는 데 사용해야 합니다.

'활성 경고' 통합 문서를 추가했습니다.

사용자가 환경에 대한 활성 위협을 이해하는 데 도움을 주고 치료 프로세스 동안 활성 경고 사이의 우선 순위를 지정하기 위해 활성 경고 통합 문서를 추가했습니다.

활성 경고 통합 문서의 추가를 보여 주는 스크린샷

활성 경고 통합 문서를 사용하면 심각도, 유형, 태그, MITRE ATT&CK 전술 및 위치별로 집계된 경고의 통합 대시보드를 볼 수 있습니다. '활성 경고' 통합 문서 사용에서 자세히 알아보세요.

정부 클라우드에 '시스템 업데이트' 권장 사항 추가

이제 모든 정부 클라우드에서 '시스템 업데이트를 컴퓨터에 설치해야 합니다' 권장 사항을 사용할 수 있습니다.

이 변경 내용은 정부 클라우드 구독의 보안 점수에 영향을 미칠 가능성이 높습니다. 변경 내용으로 인해 점수가 낮아질 것으로 예상되지만 권장 사항을 포함하면 경우에 따라 점수가 높아질 수 있습니다.

2021년 12월

12월의 업데이트 다음을 포함합니다.

GA(일반 공급)를 위해 릴리스된 컨테이너용 Microsoft Defender 플랜

2년 전에 클라우드용 Microsoft Defender 내에서 Azure Defender 제품의 일부로 Kubernetes용 Defender컨테이너 레지스트리용 Defender를 도입했습니다.

컨테이너용 Microsoft Defender가 릴리스되면서 이 두 가지 기존 Defender 플랜이 병합되었습니다.

새로운 플랜:

  • 두 가지 기존 플랜의 기능 결합 - Kubernetes 클러스터에 대한 위협 검색 및 컨테이너 레지스트리에 저장된 이미지에 대한 취약성 평가
  • 새롭고 개선된 기능 제공 - 다중 클라우드 지원, 60개 이상의 새로운 Kubernetes 인식 분석을 통한 호스트 수준 위협 탐지, 실행 중인 이미지에 대한 취약성 평가 등
  • Kubernetes 네이티브 대규모 온보딩 도입 - 기본적으로 플랜을 사용하도록 설정하면 모든 관련 구성 요소가 자동으로 배포되도록 구성됩니다.

이번 릴리스에서는 Kubernetes용 Defender 및 컨테이너 레지스트리용 Defender가 다음과 같이 변경되었습니다.

  • 새 구독 - 이전의 두 가지 컨테이너 플랜은 더 이상 사용할 수 없습니다.
  • 기존 구독 - Azure Portal에 표시되는 모든 위치에서 계획은 최신 계획으로 업그레이드하는 방법에 대한 지침과 함께 사용되지 않음으로 표시됩니다.'더 이상 사용되지 않음' 및 업그레이드 정보를 표시하는 컨테이너 레지스트리용 Defender 및 Kubernetes용 Defender 계획

새로운 플랜은 2021년 12월 한 달간 무료입니다. 이전 플랜에서 컨테이너용 Defender로의 청구 변경 가능성과 이 플랜에 도입된 이점에 대한 자세한 내용은 컨테이너용 Microsoft Defender 소개를 참조하세요.

자세한 내용은 다음을 참조하세요.

GA(일반 공급)를 위해 릴리스된 스토리지용 Microsoft Defender에 대한 새로운 경고

공격자는 도구와 스크립트를 사용하여 중요한 데이터가 포함된 잘못 구성된 개방형 스토리지 컨테이너를 찾기 위해 공개적으로 열린 컨테이너를 검사합니다.

스토리지용 Microsoft Defender는 이러한 스캐너를 검색하여 사용자가 스캐너를 차단하고 태세를 수정할 수 있도록 합니다.

이를 검색한 미리 보기 경고는 "공용 스토리지 컨테이너의 익명 검사"였습니다. 발견된 의심스러운 이벤트를 더 명확하게 설명하기 위해 이를 두 개의 새로운 경고로 나누었습니다. 이러한 경고는 Azure Blob Storage에만 관련됩니다.

검색 논리를 개선하고 경고 메타데이터를 업데이트했으며 경고 이름과 경고 형식을 변경했습니다.

다음은 새로운 경고입니다.

경고(경고 유형) 설명 MITRE 전술 심각도
공개적으로 액세스할 수 있는 스토리지 컨테이너가 성공적으로 검색되었습니다.
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)		 지난 1시간 동안 검사 스크립트 또는 도구를 사용하여 스토리지 계정에서 공개적으로 열린 스토리지 컨테이너를 성공적으로 발견했습니다.

이는 일반적으로 공격자가 중요한 데이터가 포함된 잘못 구성된 개방형 스토리지 컨테이너를 찾기 위해 컨테이너 이름을 추측하여 blob을 나열하려고 하는 정찰 공격을 나타냅니다.

공격자는 자체 스크립트를 사용하거나 Microburst와 같은 알려진 검사 도구를 사용하여 공개적으로 열린 컨테이너를 검사할 수 있습니다.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2		 컬렉션 중간
공개적으로 액세스할 수 있는 스토리지 컨테이너 검사 실패
(Storage.Blob_OpenContainersScanning.FailedAttempt)		 지난 1시간 동안 공개적으로 열린 스토리지 컨테이너를 검사하려는 일련의 실패 시도가 수행되었습니다.

이는 일반적으로 공격자가 중요한 데이터가 포함된 잘못 구성된 개방형 스토리지 컨테이너를 찾기 위해 컨테이너 이름을 추측하여 blob을 나열하려고 하는 정찰 공격을 나타냅니다.

공격자는 자체 스크립트를 사용하거나 Microburst와 같은 알려진 검사 도구를 사용하여 공개적으로 열린 컨테이너를 검사할 수 있습니다.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2		 컬렉션 낮음

자세한 내용은 다음을 참조하세요.

스토리지용 Microsoft Defender에 대한 경고 개선 사항

초기 액세스 경고는 이제 조사를 지원하기 위해 정확도가 향상되었으며 더 많은 데이터를 제공합니다.

공격자는 초기 액세스에서 다양한 기술을 사용하여 네트워크 내에서 탄탄한 기반을 쌓습니다. 이 단계에서 동작 변칙을 검색하는 스토리지용 Microsoft Defender 경고 중 2개에는 이제 조사를 지원하기 위해 개선된 검색 논리와 추가 데이터가 있습니다.

과거에 이러한 경고에 대해 자동화를 구성하거나 경고 제거 규칙을 정의했다면 이러한 변경사항에 따라 업데이트합니다.

Tor 출구 노드에서 액세스 검색

Tor 출구 노드에서의 액세스는 ID를 숨기려는 공격자를 나타낼 수 있습니다.

이제 경고가 인증된 액세스에 대해서만 생성되도록 조정되어 작업이 악의적이라는 진단에 대한 정확도와 신뢰도가 높아집니다. 이 향상은 무해한 양성 비율을 줄입니다.

변칙적인 패턴은 심각도가 높고, 덜 변칙적인 패턴은 심각도가 중간입니다.

경고 이름과 설명이 업데이트되었습니다. AlertType은 변경되지 않은 상태로 유지됩니다.

  • 경고 이름(이전): Tor 종료 노드에서 스토리지 계정으로 액세스
  • 경고 이름(신규): Tor 출구 노드에서 인증된 액세스
  • 경고 형식: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
  • 설명: 스토리지 계정에 있는 하나 이상의 스토리지 컨테이너/파일 공유가 Tor(익명화 프록시)의 활성 종료 노드로 알려진 IP 주소에서 성공적으로 액세스되었습니다. 공격자는 Tor를 사용하여 자신의 작업을 역추적하기 어렵게 만듭니다. Tor 출구 노드에서 인증된 액세스는 공격자가 자신의 ID를 숨기려 한다는 표시일 수 있습니다. 적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
  • MITRE 전술: 초기 액세스
  • 심각도: 높음/중간

비정상적인 인증되지 않은 액세스

액세스 패턴의 변경은 공격자가 액세스 구성의 실수를 악용하거나 액세스 권한을 변경하여 스토리지 컨테이너에 대한 공용 읽기 권한을 악용할 수 있음을 나타낼 수 있습니다.

이 중간 심각도 경고는 이제 개선된 동작 논리, 더 높은 정확도 및 작업이 악의적이라는 확신으로 조정되었습니다. 이 향상은 무해한 양성 비율을 줄입니다.

경고 이름과 설명이 업데이트되었습니다. AlertType은 변경되지 않은 상태로 유지됩니다.

  • 경고 이름(이전): 스토리지 계정에 대한 익명 액세스
  • 경고 이름(신규): 스토리지 컨테이너에 대한 비정상적인 인증되지 않은 액세스
  • 경고 형식: Storage.Blob_AnonymousAccessAnomaly
  • 설명: 이 스토리지 계정은 인증 없이 액세스되었으며, 이는 일반적인 액세스 패턴의 변경 내용입니다. 이 컨테이너에 대한 읽기 액세스는 일반적으로 인증됩니다. 이는 공격자가 이 스토리지 계정의 스토리지 컨테이너에 대한 공용 읽기 권한을 악용할 수 있음을 나타낼 수 있습니다. 적용 대상: Azure Blob Storage
  • MITRE 전술: 컬렉션
  • 심각도: 중간

자세한 내용은 다음을 참조하세요.

네트워크 계층 경고에서 'PortSweeping' 경고가 제거됨

비효율성으로 인해 다음 경고가 네트워크 계층 경고에서 제거되었습니다.

경고(경고 유형) 설명 MITRE 전술 심각도
발신 포트 검색 활동이 감지되었을 수 있음
(PortSweeping)		 네트워크 트래픽 분석에서 %{Compromised Host}에서 의심스러운 나가는 트래픽을 감지했습니다. 이 트래픽은 포트 검색 활동에 따른 결과일 수 있습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 이 동작이 의도적인 경우 포트 검색을 수행하는 것은 Azure 서비스 약관에 위배됩니다. 이 동작이 의도적이지 않은 경우에는 리소스가 손상된 것을 의미할 수 있습니다. 검색 중간

2021년 11월

Ignite 릴리스에는 다음이 포함됩니다.

11월의 기타 변경 내용은 다음과 같습니다.

Azure Security Center 및 Azure Defender는 클라우드용 Microsoft Defender가 됨

2021년 클라우드 현황 보고서에 따르면 현재 조직의 92%가 다중 클라우드 전략을 보유하고 있습니다. Microsoft의 목표는 환경 전반의 보안을 중앙 집중화하고 보안 팀이 보다 효과적으로 작업할 수 있도록 돕는 것입니다.

클라우드용 Microsoft Defender CSPM(Cloud Security Posture Management) 및 CWP(클라우드 워크로드 보호) 솔루션으로, 클라우드 구성 전반에서 약점을 검색하고, 환경의 전반적인 보안 태세를 강화하고, 다중 클라우드 및 하이브리드 환경에서 워크로드를 보호합니다.

Ignite 2019에서 Microsoft는 Microsoft Defender 브랜드로 디지털 자산을 보호하고 XDR 기술을 통합하기 위한 가장 완벽한 방법을 만들기 위한 비전을 공유했습니다. 새 이름 클라우드용 Microsoft Defender Azure Security Center 및 Azure Defender를 통합하면 보안 제품의 통합 기능과 클라우드 플랫폼을 지원하는 기능이 반영됩니다.

AWS용 네이티브 CSPM 및 Amazon EKS용 위협 방지, AWS EC2

새로운 환경 설정 페이지는 관리 그룹, 구독 및 AWS 계정에 대한 더 나은 표시 유형과 제어를 제공합니다. 이 페이지는 AWS 계정을 대규모로 온보딩하도록 설계되었습니다. AWS 관리 계정을 연결하면 기존 계정과 향후 계정이 자동으로 온보딩됩니다.

새 환경 설정 페이지를 사용하여 AWS 계정 연결

AWS 계정을 추가하면 클라우드용 Defender는 다음 플랜 중 일부 또는 전체를 사용하여 AWS 리소스를 보호합니다.

  • 클라우드용 Defender의 CSPM 기능은 AWS 리소스로 확장됩니다. 이 에이전트 없는 플랜은 AWS 관련 보안 권장 사항에 따라 AWS 리소스를 평가하며, 평가 결과는 보안 점수에 포함됩니다. 또한 리소스가 AWS(AWS CIS, AWS PCI DSS 및 AWS Foundational 보안 모범 사례)와 관련된 기본 제공 표준을 준수하는지 여부도 평가됩니다. 클라우드용 Defender의 자산 인벤토리 페이지는 Azure 리소스와 함께 AWS 리소스를 관리하는 데 도움이 되는 다중 클라우드 지원 기능입니다.
  • Kubernetes용 Microsoft Defender는 컨테이너 위협 탐지 및 고급 방어를 Amazon EKS Linux 클러스터로 확장합니다.
  • 서버용 Microsoft Defender는 위협 탐지 및 고급 방어를 Windows 및 Linux EC2 인스턴스로 확장합니다. 이 플랜에는 엔드포인트용 Microsoft Defender의 통합 라이선스, 보안 기준 및 OS 수준 평가, 취약성 평가 검사, AAC(적응형 애플리케이션 제어), FIM(파일 무결성 모니터링) 등이 포함됩니다.

AWS 계정을 클라우드용 Microsoft Defender에 연결에 대해 자세히 알아보세요.

데이터 민감도에 따라 보안 작업의 우선 순위 지정(Microsoft Purview 제공)(미리 보기)

데이터 리소스는 여전히 공격자의 대상으로 자주 설정됩니다. 따라서 보안 팀은 클라우드 환경에서 중요한 데이터 리소스를 식별하고 우선 순위를 지정하고 보호하는 것이 중요합니다.

이 문제를 해결하기 위해 이제 클라우드용 Microsoft Defender에서 Microsoft Purview의 민감도 정보를 통합합니다. Microsoft Purview는 다중 클라우드 및 온-프레미스 워크로드 내에서 데이터의 민감도에 대한 풍부한 인사이트를 제공하는 통합 데이터 거버넌스 서비스입니다.

Microsoft Purview와의 통합은 인프라 수준에서 데이터까지 클라우드용 Defender의 보안 표시 여부를 확장하여 보안 팀을 위한 리소스/보안 작업의 우선 순위를 지정하는 완전히 새로운 방법을 지원합니다.

데이터 민감도별로 보안 작업 우선 순위 지정에서 자세히 알아보세요.

Azure Security Benchmark v3을 사용한 확장된 보안 컨트롤 평가

클라우드용 Defender 보안 권장 사항은 Azure Security Benchmark에서 지원됩니다.

Azure 보안 벤치마크는 Microsoft에서 작성한, 일반적인 규정 준수 프레임워크를 기반으로 하는 보안 및 규정 준수 모범 사례에 대한 Azure 관련 지침 집합입니다. 널리 인정받는 이 벤치마크는 클라우드 중심 보안에 초점을 맞춘 CIS(Center for Internet Security)NIST(National Institute of Standards and Technology)의 컨트롤을 기반으로 합니다.

Ignite 2021부터 Azure Security Benchmark v3클라우드용 Defender의 규정 준수 대시보드에서 사용할 수 있으며 클라우드용 Microsoft Defender로 보호되는 모든 Azure 구독에 대한 새로운 기본 이니셔티브로 사용하도록 설정됩니다.

v3의 향상된 기능은 다음과 같습니다.

  • 업계 프레임워크 PCI-DSS v3.2.1CIS Controls v8에 대한 추가 매핑.

  • 다음을 도입하여 제어에 대한 보다 세분화되고 실행 가능한 지침:

    • 보안 원칙 - 권장 사항의 기반을 빌드하는 전반적인 보안 목표에 대한 인사이트를 제공합니다.
    • Azure Guidance - 이러한 목표를 달성하기 위한 기술적 "방법"입니다.

  • 새로운 컨트롤에는 위협 모델링 및 소프트웨어 공급망 보안과 같은 문제에 대한 DevOps 보안과 Azure의 모범 사례를 위한 키 및 인증서 관리가 포함됩니다.

Azure Security Benchmark 소개에서 자세히 알아보세요.

GA(일반 공급)를 위해 릴리스된 Microsoft Sentinel 커넥터의 선택적 양방향 경고 동기화

7월에 Microsoft Sentinel(Microsoft의 클라우드 네이티브 SIEM 및 SOAR 솔루션)의 기본 제공 커넥터에 대한 양방향 경고 동기화 미리 보기 기능을 발표했습니다. 이 기능은 이제 GA(일반 공급)를 위해 릴리스되었습니다.

클라우드용 Microsoft Defender를 Microsoft Sentinel에 연결하면 보안 경고 상태가 두 서비스 간에 동기화됩니다. 따라서 예를 들어 클라우드용 Defender에서 경고가 닫히면 해당 경고는 Microsoft Sentinel에서도 닫힌 것으로 표시됩니다. 클라우드용 Defender에서 경고 상태를 변경해도 동기화된 Microsoft Sentinel 경고가 포함된 Microsoft Sentinel 인시던트의 상태는 영향을 받지 않고 동기화된 경고 자체의 상태에만 영향을 줍니다.

양방향 경고 동기화를 사용하도록 설정하면 원래 클라우드용 Defender 경고의 상태 해당 경고의 복사본이 포함된 Microsoft Sentinel 인시던트와 자동으로 동기화됩니다. 따라서 예를 들어 클라우드용 Defender 경고가 포함된 Microsoft Sentinel 인시던트가 종료되면 클라우드용 Defender는 해당 원래 경고를 자동으로 닫습니다.

Azure Security Center에서 Azure Defender 경고 연결Azure Sentinel로 경고 스트리밍에서 자세히 알아보세요.

AKS(Azure Kubernetes Service) 로그를 Sentinel로 푸시하기 위한 새로운 권장 사항

클라우드용 Defender와 Microsoft Sentinel의 결합된 가치에 대한 추가 개선 사항에서 이제 Microsoft Sentinel에 로그 데이터를 보내지 않는 Azure Kubernetes Service 인스턴스를 강조합니다.

SecOps 팀은 권장 사항 세부 정보 페이지에서 직접 관련 Microsoft Sentinel 작업 영역을 선택하고 원시 로그 스트리밍을 즉시 사용하도록 설정할 수 있습니다. 두 제품 간의 원활한 연결을 통해 보안 팀은 전체 환경을 파악하기 위해 워크로드 전반에 걸쳐 완전한 로깅 적용 범위를 쉽게 보장할 수 있습니다.

새로운 권장 사항인 "Kubernetes Service의 진단 로그를 사용하도록 설정해야 함"에는 더 빠른 해결을 위한 "수정" 옵션이 포함됩니다.

또한 동일한 Sentinel 스트리밍 기능으로 "SQL Server에 대한 감사를 사용하도록 설정해야 함" 권장 사항을 개선했습니다.

MITRE ATT&CK® 프레임워크에 매핑된 권장 사항 - GA(일반 공급)를 위해 릴리스됨

MITRE ATT&CK® 프레임워크에 대한 입장을 표시하기 위해 클라우드용 Defender 보안 권장 사항을 개선했습니다. 실제 관찰을 기반으로 하는 공격자의 전술 및 기술에 대한 전 세계적으로 액세스 가능한 기술 자료는 환경에 대한 권장 사항의 관련 위험을 이해할 수 있도록 하는 더 많은 컨텍스트를 제공합니다.

권장 정보에 액세스할 때마다 다음 전술을 찾을 수 있습니다.

  • 관련 권장 사항에 대한 Azure Resource Graph 쿼리 결과에 는 MITRE ATT&CK® 전술 및 기술이 포함됩니다.

  • 권장 사항 세부 정보 페이지에는 모든 관련 권장 사항에 대한 매핑이 표시됩니다.:

  • 클라우드용 Defender의 권장 사항 페이지에는 관련 전술에 따라 권장 사항을 선택하는 새로운 필터가 있습니다:

보안 권장 사항 검토에서 자세히 알아보세요.

Microsoft 위협 및 취약성 관리가 취약성 평가 솔루션으로 추가됨 - GA(일반 공급)용으로 릴리스됨

10월에는 컴퓨터 대한 새로운 취약성 평가 공급자를 지원하기 위해 서버용 Microsoft Defender와 엔드포인트용 Microsoft Defender 간의 통합에 대한 확장을 발표했습니다(Microsoft 위협 및 취약성 관리). 이 기능은 이제 GA(일반 공급)를 위해 릴리스되었습니다.

위협 및 취약성 관리를 사용하면 엔드포인트용 Microsoft Defender와의 통합이 사용하도록 설정된 상태에서 추가 에이전트나 정기 검사 없이 거의 실시간으로 취약성과 잘못된 구성을 발견할 수 있습니다. 위협 및 취약성 관리는 조직의 위협 환경 및 검색을 기반으로 취약성의 우선 순위를 지정합니다.

보안 권장 사항 "가상 머신에서 취약성 평가 솔루션을 사용하도록 설정해야 함"을 사용하여 지원되는 컴퓨터에 대한 위협 및 취약성 관리에서 검색된 취약성을 표시합니다.

수동으로 권장 사항을 수정할 필요 없이 기존 및 새 컴퓨터에서 취약성을 자동으로 표시하려면 취약성 평가 솔루션을 이제 자동으로 사용하도록 설정할 수 있음(미리 보기에서)을 참조하세요.

엔드포인트용 Microsoft Defender 위협 및 취약성 관리 사용하여 약점 조사에 대해 자세히 알아보세요.

Linux의 엔드포인트용 Microsoft Defender는 이제 서버용 Microsoft Defender에서 지원됨 - GA(일반 공급)용으로 릴리스됨

8월에 지원되는 Linux 컴퓨터에 Linux 엔드포인트용 Defender 센서를 배포하기 위한 미리 보기 지원을 발표했습니다. 이 기능은 이제 GA(일반 공급)를 위해 릴리스되었습니다.

서버용 Microsoft Defender에는 엔드포인트용 Microsoft Defender에 대한 통합 라이선스가 포함되어 있습니다. 또한 포괄적인 EDR(엔드포인트 검색 및 응답) 기능을 제공합니다.

엔드포인트용 Defender는 위협을 감지하면 경고를 트리거합니다. 경고는 Defender for Cloud에 표시됩니다. Defender for Cloud에서 엔드포인트용 Defender 콘솔로 피벗하고 자세히 조사하여 공격 범위를 확인할 수도 있습니다.

Security Center의 통합 EDR 솔루션인 엔드포인트용 Microsoft Defender 사용하여 엔드포인트 보호에 대해 자세히 알아보세요.

권장 사항 및 보안 결과에 대한 스냅샷 내보내기(미리 보기)

클라우드용 Defender는 자세한 보안 경고 및 권장 사항을 생성합니다. 관련 내용은 포털에서 또는 프로그래밍 도구를 통해 볼 수 있습니다. 환경의 다른 모니터링 도구를 사용하여 추적하기 위해 이 정보의 일부 또는 전부를 내보내야 할 수도 있습니다.

클라우드용 Defender의 연속 내보내기 기능을 사용하면 내보낼 내용과 내보낼 위치를 완전히 사용자 지정할 수 있습니다. 클라우드용 Microsoft Defender의 데이터 지속적으로 내보내기에서 자세히 알아보세요.

이 기능은 연속이라고 하지만 주간 스냅샷을 내보내는 옵션도 있습니다. 지금까지 이러한 주간 스냅샷은 보안 점수 및 규정 준수 데이터로 제한되었습니다. 권장 사항 및 보안 결과를 내보내는 기능을 추가했습니다.

GA(일반 공급)를 위해 릴리스된 취약성 평가 솔루션의 자동 프로비전

10월에는 클라우드용 Defender 자동 프로비전 페이지에 취약성 평가 솔루션이 추가되었다고 발표했습니다. 이는 서버용 Azure Defender로 보호되는 구독의 Azure 가상 머신 및 Azure Arc 컴퓨터와 관련 있습니다. 이 기능은 이제 GA(일반 공급)를 위해 릴리스되었습니다.

엔드포인트용 Microsoft Defender와의 통합이 사용하도록 설정된 경우 클라우드용 Defender는 다음과 같은 취약성 평가 솔루션을 제공합니다.

  • (신규) 엔드포인트용 Microsoft Defender의 Microsoft 위협 및 취약성 관리 모듈(릴리스 노트 참조)
  • 통합 Quals 에이전트

선택한 솔루션은 지원되는 컴퓨터에서 자동으로 사용하도록 설정됩니다.

컴퓨터에 대한 취약성 평가 자동 구성에서 자세히 알아보세요.

GA(일반 공급)를 위해 릴리스된 자산 인벤토리의 소프트웨어 인벤토리 필터

10월에 특정 소프트웨어를 실행하는 컴퓨터를 선택하고 관심 있는 버전을 지정할 수도 있는 자산 인벤토리 페이지에 대한 새로운 필터를 발표했습니다. 이 기능은 이제 GA(일반 공급)를 위해 릴리스되었습니다.

Azure Resource Graph Explorer에서 소프트웨어 인벤토리 데이터를 쿼리할 수 있습니다.

이러한 기능을 사용하려면 엔드포인트용 Microsoft Defender와의 통합을 사용하도록 설정해야 합니다.

Azure Resource Graph에 대한 샘플 Kusto 쿼리를 포함한 자세한 내용은 소프트웨어 인벤토리 액세스를 참조하세요.

기본 이니셔티브에 새로운 AKS 보안 정책 추가 - 프라이빗 미리 보기 고객만 사용

기본적으로 Kubernetes 워크로드가 안전한지 확인하기 위해 클라우드용 Defender에는 Kubernetes 허용 제어가 포함된 적용 옵션을 포함하여 Kubernetes 수준 정책 및 강화 권장 사항이 포함되어 있습니다.

이 프로젝트의 일부로 Kubernetes 클러스터에서 배포를 차단하기 위한 정책 및 권장 사항(기본적으로 사용하지 않도록 설정됨)을 추가했습니다. 이 정책은 기본 이니셔티브에 있지만 관련 프라이빗 미리 보기에 등록하는 조직에만 관련이 있습니다.

정책 및 권장 사항("Kubernetes 클러스터는 취약한 이미지의 배포를 차단해야 함")을 안전하게 무시할 수 있으며 환경에 영향을 미치지 않습니다.

프라이빗 미리 보기에 참여하려면 프라이빗 미리 보기 링의 멤버이어야 합니다. 아직 멤버가 아닌 경우 여기에 요청을 제출합니다. 미리 보기가 시작되면 멤버에게 알림이 전송됩니다.

온-프레미스 컴퓨터의 인벤토리 표시는 리소스 이름에 대해 다른 템플릿을 적용합니다.

자산 인벤토리의 리소스 표시를 개선하기 위해 온-프레미스 컴퓨터의 명명을 위한 템플릿에서 "source-computer-IP" 요소를 제거했습니다.

  • 이전 형식:machine-name_source-computer-id_VMUUID
  • 이 업데이트로:machine-name_VMUUID

2021년 10월

10월의 업데이트 다음을 포함합니다.

Microsoft 위협 및 취약성 관리가 취약성 평가 솔루션으로 추가됨(미리 보기)

서버용 Azure Defender와 엔드포인트용 Microsoft Defender 간의 통합을 확장하여 컴퓨터에 대한 새로운 취약성 평가 공급자인 Microsoft 위협 및 취약성 관리를 지원합니다.

위협 및 취약성 관리를 사용하면 엔드포인트용 Microsoft Defender와의 통합이 사용하도록 설정된 상태에서 추가 에이전트나 정기 검사 없이 거의 실시간으로 취약성과 잘못된 구성을 발견할 수 있습니다. 위협 및 취약성 관리는 조직의 위협 환경 및 검색을 기반으로 취약성의 우선 순위를 지정합니다.

보안 권장 사항 "가상 머신에서 취약성 평가 솔루션을 사용하도록 설정해야 함"을 사용하여 지원되는 컴퓨터에 대한 위협 및 취약성 관리에서 검색된 취약성을 표시합니다.

수동으로 권장 사항을 수정할 필요 없이 기존 및 새 컴퓨터에서 취약성을 자동으로 표시하려면 취약성 평가 솔루션을 이제 자동으로 사용하도록 설정할 수 있음(미리 보기에서)을 참조하세요.

엔드포인트용 Microsoft Defender 위협 및 취약성 관리 사용하여 약점 조사에 대해 자세히 알아보세요.

이제 취약성 평가 솔루션을 자동으로 사용하도록 설정할 수 있습니다(미리 보기에서).

Security Center의 자동 프로비전 페이지에는 이제 서버용 Azure Defender로 보호되는 구독에서 Azure 가상 머신 및 Azure Arc 머신에 대한 취약성 평가 솔루션을 자동으로 사용하도록 설정하는 옵션이 포함되어 있습니다.

엔드포인트용 Microsoft Defender와의 통합이 사용하도록 설정된 경우 클라우드용 Defender는 다음과 같은 취약성 평가 솔루션을 제공합니다.

  • (신규) 엔드포인트용 Microsoft Defender의 Microsoft 위협 및 취약성 관리 모듈(릴리스 노트 참조)
  • 통합 Quals 에이전트

Azure Security Center에서 Microsoft 위협 및 취약성 관리 자동 프로비전 구성

선택한 솔루션은 지원되는 컴퓨터에서 자동으로 사용하도록 설정됩니다.

컴퓨터에 대한 취약성 평가 자동 구성에서 자세히 알아보세요.

자산 인벤토리에 추가된 소프트웨어 인벤토리 필터(미리 보기)

이제 자산 인벤토리 페이지에 특정 소프트웨어를 실행하는 컴퓨터를 선택하고 관심 있는 버전을 지정할 수 있는 필터가 포함됩니다.

또한 Azure Resource Graph Explorer에서 소프트웨어 인벤토리 데이터를 쿼리할 수 있습니다.

이러한 새로운 기능을 사용하려면 엔드포인트용 Microsoft Defender와의 통합을 사용하도록 설정해야 합니다.

Azure Resource Graph에 대한 샘플 Kusto 쿼리를 포함한 자세한 내용은 소프트웨어 인벤토리 액세스를 참조하세요.

위협 및 취약성 솔루션을 사용하도록 설정한 경우 Security Center의 자산 인벤토리에서 설치된 소프트웨어별로 리소스를 선택하는 필터를 제공함

일부 경고 형식의 접두사가 "ARM_"에서 "VM_"으로 변경됨

2021년 7월에 Azure Defender for Resource Manager 경고의 논리적 재구성을 발표했습니다.

Defender 계획을 재구성하는 동안 Azure Defender for Resource Manager에서 서버용 Azure Defender로 경고를 이동했습니다.

이 업데이트를 통해 이 재할당과 일치하도록 이러한 경고의 접두사를 변경하고 다음 표와 같이 "ARM_"을 "VM_"으로 바꿨습니다.

원래 이름 이 변경에서
ARM_AmBroadFilesExclusion VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution VM_AmDisablementAndCodeExecution
ARM_AmDisablement VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset VM_VMAccessUnusualSSHReset

Azure Defender for Resource Manager서버용 Azure Defender 계획에 대해 자세히 알아봅니다.

Kubernetes 클러스터에 대한 보안 권장 사항의 논리 변경

"Kubernetes 클러스터는 기본 네임스페이스를 사용하지 않아야 함" 권장 사항은 리소스 종류 범위에 대한 기본 네임스페이스 사용을 방지합니다. 이 권장 사항에 포함된 두 가지 종류의 리소스인 ConfigMap 및 Secret이 제거되었습니다.

Kubernetes 클러스터에 대한 Azure Policy 이해에서 이 권장 사항과 Kubernetes 클러스터 강화에 대해 자세히 알아보세요.

다양한 권장 사항 간의 관계를 명확히 하기 위해 많은 권장 사항의 세부 정보 페이지에 관련 권장 사항 영역을 추가했습니다.

이 페이지에 표시되는 세 가지 관계 형식은 다음과 같습니다.

  • 필수 조건 - 선택한 권장 사항 전에 완료해야 하는 권장 사항
  • 대안 - 선택한 권장 사항의 목표를 달성하는 다른 방법을 제공하는 다른 권장 사항
  • 종속 - 선택한 권장 사항이 필수 조건인 권장 사항

각 관련 권장 사항에 대해 비정상 리소스의 수가 영향을 받는 리소스 열에 표시됩니다.

관련 권장 사항이 회색으로 표시되면 해당 종속성이 아직 완료되지 않았으므로 사용할 수 없습니다.

관련 권장 사항의 예:

  1. Security Center는 지원되는 취약성 평가 솔루션이 있는지 컴퓨터를 확인합니다.
    취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함

  2. 하나가 발견되면 발견된 취약성에 대한 알림을 받게 됩니다.
    가상 머신의 취약성을 수정해야 함

분명히 Security Center는 지원되는 취약성 평가 솔루션을 찾지 않는 한 발견된 취약성에 대해 알릴 수 없습니다.

따라서 다음 작업을 수행하십시오.

  • 권장 사항 #1은 권장 사항 #2의 필수 조건입니다.
  • 권장 사항 #2는 권장 사항 #1에 따라 다릅니다.

취약성 평가 솔루션 배포에 대한 권장 사항의 스크린샷

검색된 취약성 해결에 대한 권장 사항의 스크린샷

Kubernetes용 Azure Defender에 대한 새로운 경고(미리 보기)

Kubernetes용 Azure Defender에서 제공하는 위협 방지를 확장하기 위해 두 가지 미리 보기 경고를 추가했습니다.

이러한 경고는 새로운 기계 학습 모델 및 Kubernetes 고급 분석을 기반으로 생성되며, Azure Defender에서 모니터링하는 모든 클러스터와 클러스터의 이전 작업에 대해 여러 배포 및 역할 할당 특성을 측정합니다.

경고(경고 유형) 설명 MITRE 전술 심각도
변칙적인 Pod 배포(미리 보기)
(K8S_AnomalousPodDeployment)		 Kubernetes 감사 로그 분석에서 이전 Pod 배포 활동을 기반으로 비정상적인 Pod 배포를 검색했습니다. 이 작업은 배포 작업에서 볼 수 있는 다양한 기능이 서로 어떻게 관련되어 있는지 고려할 때 비정상적인 것으로 간주됩니다. 이 분석에 의해 모니터링되는 기능에는 사용된 컨테이너 이미지 레지스트리, 배포를 수행하는 계정, 요일, 이 계정이 Pod 배포를 수행하는 빈도, 작업에 사용된 사용자 에이전트, Pod 배포가 발생하는 네임스페이스인지 여부 및 다른 기능이 포함됩니다. 이 경고를 비정상적인 작업으로 발생시키는 가장 큰 원인은 경고 확장 속성에 자세히 설명되어 있습니다. 실행 중간
Kubernetes 클러스터에 할당된 과도한 역할 권한(미리 보기)
(K8S_ServiceAcountPermissionAnomaly)		 Kubernetes 감사 로그 분석에서 클러스터에 대한 과도한 권한 역할 할당이 발견되었습니다. 역할 할당 검사에서 나열된 권한은 특정 서비스 계정에 일반적이지 않습니다. 이 검색은 Azure에서 모니터링하는 클러스터에서 동일한 서비스 계정에 대한 이전 역할 할당, 권한당 볼륨 및 특정 권한의 영향을 고려합니다. 이 경고에 사용되는 변칙 검색 모델은 Azure Defender에서 모니터링하는 모든 클러스터에서 이 권한이 사용되는 방식을 고려합니다. 권한 상승 낮음

Kubernetes 경고의 전체 목록은 Kubernetes 클러스터에 대한 경고를 참조하세요.

2021년 9월

9월에 다음 업데이트가 릴리스되었습니다.

Azure 보안 기준 준수를 위해 OS 구성을 감사하기 위한 두 가지 새로운 권장 사항(미리 보기)

컴퓨터가 Windows 보안 기준Linux 보안 기준을 준수하는지 평가하기 위해 다음 두 가지 권장 사항이 발표되었습니다.

이러한 권장 사항은 Azure Policy의 게스트 구성 기능을 사용하여 컴퓨터의 OS 구성을 Azure Security Benchmark에 정의된 기준과 비교합니다.

게스트 구성을 사용하여 컴퓨터의 OS 구성 강화에서 이러한 권장 사항을 사용하는 방법에 대해 자세히 알아보세요.

2021년 8월

8월의 업데이트는 다음과 같습니다.

이제 Azure Defender for Servers에서 Linux에 대한 엔드포인트용 Microsoft Defender 지원(미리 보기)

Azure Defender for Servers에는 엔드포인트용 Microsoft Defender와의 통합 라이선스가 포함되어 있습니다. 또한 포괄적인 EDR(엔드포인트 검색 및 응답) 기능을 제공합니다.

엔드포인트용 Defender는 위협을 감지하면 경고를 트리거합니다. 경고는 Security Center에 표시됩니다. Security Center에서 엔드포인트용 Defender 콘솔로 피벗하고 자세한 조사를 수행하여 공격 범위를 파악할 수도 있습니다.

미리 보기 기간 동안 Windows 머신에 이미 배포 했는지 여부에 따라 두 가지 방법 중 하나로 지원되는 Linux 머신에 Linux 용 엔드포인트용 Defender 센서를 배포합니다.

Security Center의 통합 EDR 솔루션인 엔드포인트용 Microsoft Defender 사용하여 엔드포인트 보호에 대해 자세히 알아보세요.

엔드포인트 보호 솔루션을 관리하기 위한 두 가지 새로운 권장 사항(미리 보기)

머신에서 엔드포인트 보호 솔루션을 배포하고 기본 두 가지 미리 보기 권장 사항을 추가했습니다. 두 권장 사항에는 Virtual Machines 및 Azure Arc를 사용하도록 설정된 서버에 연결된 머신에 대한 지원이 포함됩니다.

추천 설명 심각도
머신에 Endpoint Protection을 설치해야 함 위협 및 취약성으로부터 머신을 보호하려면 지원되는 엔드포인트 보호 솔루션을 설치합니다. 머신에 대한 Endpoint Protection을 평가하는 방법에 대해 자세히 알아봅니다.
(관련 정책: Azure Security Center에서 누락된 Endpoint Protection 모니터링)		 높음
머신에서 엔드포인트 보호 상태 문제를 해결해야 함 가상 머신의 엔드포인트 보호 상태 문제를 해결하여 최신 위협 및 취약성으로부터 보호합니다. Azure Security Center 지원 엔드포인트 보호 솔루션은 여기에 설명되어 있습니다. Endpoint Protection 평가는 여기에 설명되어 있습니다.
(관련 정책: Azure Security Center에서 누락된 Endpoint Protection 모니터링)		 중간

참고 항목

권장 사항은 새로 고침 간격을 8시간으로 표시하지만 이 시간이 훨씬 더 오래 걸릴 수 있는 몇 가지 시나리오가 있습니다. 예를 들어 온-프레미스 컴퓨터가 삭제되면 Security Center에서 삭제를 식별하는 데 24시간이 걸립니다. 그 후에는 정보를 반환하는 데 최대 8시간이 소요됩니다. 따라서 이러한 특정 상황에서는 영향을 받는 리소스 목록에서 컴퓨터를 제거하는 데 32시간이 걸릴 수 있습니다.

이러한 두 가지 새로운 Security Center 권장 사항에 대한 새로 고침 간격 표시기

일반적인 문제를 해결하기 위한 기본 제공 문제 해결 및 지침

Azure Portal에 있는 Security Center 페이지의 새로운 전용 영역은 Security Center 및 Azure Defender와 관련된 일반적인 문제를 해결하기 위한 자가 진단 자료 집합을 계속 수집하여 제공합니다.

문제가 발생하거나 지원 팀의 조언을 구하는 경우 문제 진단 및 해결은 솔루션을 찾는 데 도움이 되는 또 다른 도구입니다.

Security Center의 '문제 진단 및 해결' 페이지

GA(일반 공급)를 위해 릴리스된 규정 준수 대시보드의 Azure 감사 보고서

규정 준수 대시보드의 도구 모음은 구독에 적용되는 표준에 대한 Azure 및 Dynamics 인증 보고서를 제공합니다.

감사 보고서를 생성하기 위한 단추를 보여 주는 규정 준수 대시보드의 도구 모음입니다.

관련 보고서 유형(PCI, SOC, ISO 등)에 대한 탭을 선택하고 필터를 사용하여 필요한 특정 보고서를 찾을 수 있습니다.

자세한 내용은 규정 준수 상태 보고서 및 인증서 생성을 참조하세요.

사용 가능한 Azure 감사 보고서의 탭 목록입니다. ISO 보고서, SOC 보고서, PCI 등에 대한 탭이 표시됩니다.

'머신에서 Log Analytics 에이전트 상태 문제를 해결해야 함' 권장 사항이 사용 중단됨

권장 사항 Log Analytics 에이전트 상태 문제는 Security Center의 CSPM(클라우드 보안 상태 관리) 포커스와 일치하지 않는 방식으로 보안 점수에 영향을 주는 컴퓨터 에서 해결되어야 합니다. 일반적으로 CSPM은 잘못된 보안 구성을 식별하는 것과 관련이 있습니다. 에이전트 상태 문제는 이 문제 범주에 맞지 않습니다.

또한 Security Center와 관련된 다른 에이전트와 비교할 때 권장 사항은 변칙입니다. 이는 상태 문제와 관련된 권장 사항이 있는 유일한 에이전트입니다.

권장 사항은 더 이상 사용되지 않습니다.

이 사용 중단으로 인해 Log Analytics 에이전트를 설치하기 위한 권장 사항도 약간 변경했습니다(Log Analytics 에이전트를 설치해야 합니다...).

이 변경 내용이 보안 점수에 영향을 줄 수 있습니다. 대부분의 구독에서는 변경으로 인해 점수가 증가할 것으로 예상하지만, 설치 권장 사항을 업데이트하면 경우에 따라 점수가 감소할 수 있습니다.

자산 인벤토리 페이지는 머신이 모니터링되는지, 모니터링되지 않거나 부분적으로 모니터링되는지(상태 문제가 있는 에이전트를 나타내는 상태)에 대한 정보도 표시하기 때문에 이 변경의 영향을 받습니다.

컨테이너 레지스트리용 Azure Defender에는 Azure Container Registry의 이미지를 검사하는 취약성 스캐너가 포함되어 있습니다. Azure Defender for Container Registries에서 레지스트리를 검사하고 결과를 수정하여 이미지를 검사하여 취약성을 검사하는 방법을 알아봅니다.

Azure Container Registry에서 호스팅되는 레지스트리에 대한 액세스를 제한하려면 레지스트리 엔드포인트에 가상 네트워크 개인 IP 주소를 할당하고 Azure Private Link 를 사용하여 Azure 컨테이너 레지스트리에 비공개로 연결에서 설명한 대로 Azure Private Link를 사용합니다.

추가 환경 및 사용 사례를 지원하기 위한 지속적인 노력의 일환으로 Azure Defender는 이제 Azure Private Link보호되는 컨테이너 레지스트리도 검색합니다.

Security Center는 이제 Azure Policy의 게스트 구성 확장을 자동 프로비전할 수 있습니다(미리 보기).

Azure Policy는 Azure 및 Arc 연결된 컴퓨터에서 실행되는 컴퓨터 모두에 대해 컴퓨터 내의 설정을 감사할 수 있습니다. 게스트 구성 확장 및 클라이언트가 유효성 검사를 수행합니다. Azure Policy의 게스트 구성 이해에 대해 자세히 알아보세요.

이 업데이트를 사용하면 지원되는 모든 컴퓨터에 이 확장을 자동으로 프로비저닝하도록 Security Center를 설정할 수 있습니다.

게스트 구성 확장의 자동 배포를 사용하도록 설정합니다.

에이전트 및 확장에 대한 자동 프로비전 구성에서 자동 프로비전이 작동하는 방식에 대해 자세히 알아봅니다.

"적용"을 지원하는 Azure Defender 계획을 사용하도록 설정하는 권장 사항

Security Center에는 새로 만든 리소스가 안전한 방식으로 프로비전되도록 하는 데 도움이 되는 두 가지 기능인 적용거부가 포함되어 있습니다. 권장 사항에서 이러한 옵션을 제공하는 경우 누군가가 리소스를 만들려고 할 때마다 보안 요구 사항이 충족되는지 확인할 수 있습니다.

  • 거부 로 인해 비정상 리소스가 생성되지 않습니다.
  • 비규격 리소스를 만들 때 자동으로 수정 적용

이 업데이트를 사용하면 Azure Defender 계획을 사용하도록 설정하는 권장 사항에서 적용 옵션을 사용할 수 있습니다(예: Azure Defender for App Service를 사용하도록 설정해야 하고, Key Vault용 Azure Defender를 사용하도록 설정해야 하며, 스토리지용 Azure Defender를 사용하도록 설정해야 함).

적용/거부 권장 사항을 사용하여 잘못된 구성 방지에서 이러한 옵션에 대해 자세히 알아봅니다.

권장 사항 데이터의 CSV 내보내기가 이제 20MB로 제한됨

Security Center 권장 사항 데이터를 내보낼 때 20MB의 제한을 도입하고 있습니다.

권장 사항 데이터를 내보내는 Security Center의 'CSV 보고서 다운로드' 단추입니다.

더 많은 양의 데이터를 내보내야 하는 경우 선택하기 전에 사용 가능한 필터를 사용하거나 구독의 하위 집합을 선택하고 일괄 처리로 데이터를 다운로드합니다.

Azure Portal에서 구독 필터링

보안 권장 사항의 CSV 내보내기를 수행하는 방법에 대해 자세히 알아봅니다.

이제 권장 사항 페이지에 여러 보기가 포함됩니다.

이제 권장 사항 페이지에는 리소스와 관련된 권장 사항을 볼 수 있는 다른 방법을 제공하는 두 개의 탭이 있습니다.

Azure Security Center의 권장 사항 목록 보기를 변경하는 탭입니다.

2021년 7월

7월의 업데이트 다음을 포함합니다.

이제 Azure Sentinel 커넥터에 선택적 양방향 경고 동기화가 포함됩니다(미리 보기).

Security Center는 기본적으로 Azure의 클라우드 네이 티브 SIEM 및 SOAR 솔루션인 Azure Sentinel과 통합됩니다.

Azure Sentinel에는 구독 및 테넌트 수준에서 Azure Security Center에 대한 기본 제공 커넥터가 포함되어 있습니다. Azure Sentinel에 대한 Stream 경고에 대해 자세히 알아봅니다.

Azure Defender를 Azure Sentinel에 연결하면 Azure Sentinel로 수집된 Azure Defender 경고의 상태가 두 서비스 간에 동기화됩니다. 예를 들어 Azure Defender에서 경고가 닫힐 때 해당 경고는 Azure Sentinel에서도 닫힌 것으로 표시됩니다. Azure Defender에서 경고의 상태 변경하면 동기화된 Azure Sentinel 경고가 포함된 모든 Azure Sentinel 인시던트의 상태 영향을 미치며 동기화된 경고 자체에만 영향을 줍니다.

미리 보기 기능 양방향 경고 동기화를 사용하도록 설정하면 원래 Azure Defender 경고의 상태 해당 Azure Defender 경고의 복사본이 포함된 Azure Sentinel 인시던트와 자동으로 동기화됩니다. 예를 들어 Azure Defender 경고가 포함된 Azure Sentinel 인시던트가 닫히면 Azure Defender는 해당 원래 경고를 자동으로 닫습니다.

자세한 내용은 Azure Security Center에서 Azure Defender 경고 연결을 참조하세요.

Resource Manager 경고에 대한 Azure Defender의 논리적 재구성

아래에 나열된 경고는 Azure Defender for Resource Manager 플랜의 일부로 제공됩니다.

일부 Azure Defender 플랜에 대한 논리적 재구성의 일환으로 Azure Defender for Resource Manager에서 서버용 Azure Defender로 일부 경고를 이동하고 있습니다.

경고는 다음 두 가지 기본 원칙에 따라 구성됩니다.

  • 여러 Azure 리소스 유형에서 제어 평면 보호를 제공하는 경고는 Azure Defender for Resource Manager의 일부입니다.
  • 특정 워크로드를 보호하는 경고는 해당 워크로드와 관련된 Azure Defender 계획에 있습니다.

이러한 경고는 Azure Defender for Resource Manager에 속하며, 이러한 변경의 결과로 서버용 Azure Defender로 이동됩니다.

  • ARM_AmBroadFilesExclusion
  • ARM_AmDisablementAndCodeExecution
  • ARM_AmDisablement
  • ARM_AmFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusion
  • ARM_AmRealtimeProtectionDisabled
  • ARM_AmTempRealtimeProtectionDisablement
  • ARM_AmRealtimeProtectionDisablementAndCodeExec
  • ARM_AmMalwareCampaignRelatedExclusion
  • ARM_AmTemporarilyDisablement
  • ARM_UnusualAmFileExclusion
  • ARM_CustomScriptExtensionSuspiciousCmd
  • ARM_CustomScriptExtensionSuspiciousEntryPoint
  • ARM_CustomScriptExtensionSuspiciousPayload
  • ARM_CustomScriptExtensionSuspiciousFailure
  • ARM_CustomScriptExtensionUnusualDeletion
  • ARM_CustomScriptExtensionUnusualExecution
  • ARM_VMAccessUnusualConfigReset
  • ARM_VMAccessUnusualPasswordReset
  • ARM_VMAccessUnusualSSHReset

Azure Defender for Resource Manager서버용 Azure Defender 계획에 대해 자세히 알아봅니다.

ADE(Azure Disk Encryption)를 사용하도록 권장 사항 향상

사용자 피드백에 따라 가상 머신에 디스크 암호화를 적용해야 한다는 권장 사항의 이름을 변경했습니다.

새 권장 사항은 동일한 평가 ID를 사용하며 가상 머신은 Compute 및 Storage 리소스 간의 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 한다고 합니다.

또한 이 강화 권장 사항의 목적을 더 잘 설명하기 위해 설명이 업데이트되었습니다.

추천 설명 심각도
가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 미사용 시 암호화됩니다. 임시 디스크 및 데이터 캐시는 암호화되지 않으며 컴퓨팅 리소스와 스토리지 리소스 간에 흐르는 경우 데이터가 암호화되지 않습니다. 자세한 내용은 Azure의 다양한 디스크 암호화 기술 비교 비교를 참조하세요.
Azure Disk Encryption을 사용하여 이 모든 데이터를 암호화합니다. (1) 호스트에서 암호화 기능을 사용하거나 (2) Managed Disks의 서버 쪽 암호화가 보안 요구 사항을 충족하는 경우 이 권장 사항을 무시합니다. Azure Disk Storage의 서버 쪽 암호화에서 자세히 알아봅니다.		 높음

GA(일반 공급)를 위해 릴리스된 보안 점수 및 규정 준수 데이터의 연속 내보내기

연속 내보내 기에서는 환경의 다른 모니터링 도구를 사용하여 추적하기 위한 보안 경고 및 권장 사항을 내보내는 메커니즘을 제공합니다.

연속 내보내기를 설정할 때 내보내는 항목과 내보내기 위치를 구성합니다. 연속 내보내기 개요에 대해 자세히 알아봅니다.

이 기능은 시간이 지남에 따라 향상되고 확장되었습니다.

  • 2020년 11월에 보안 점수변경 내용을 스트리밍하는 미리 보기 옵션을 추가했습니다.
    자세한 내용은 이제 연속 내보내기(미리 보기)에서 보안 점수를 사용할 수 있습니다.

  • 2020년 12월에는 규정 준수 평가 데이터에 대한 변경 내용을 스트리밍하는 미리 보기 옵션을 추가했습니다.
    자세한 내용은 연속 내보내기가 새 데이터 형식을 가져옵니다(미리 보기)를 참조하세요.

이 업데이트를 사용하면 이러한 두 가지 옵션이 GA(일반 공급)를 위해 릴리스됩니다.

규정 준수 평가 변경 사항으로 워크플로 자동화가 트리거될 수 있습니다(GA)

2021년 2월에 워크플로 자동화에 대한 트리거 옵션인 규정 준수 평가 변경에 미리 보기 세 번째 데이터 형식을 추가했습니다. 규정 준수 평가 변경으로 워크플로 자동화에 대해 자세히 알아볼 수 있습니다.

이 업데이트를 사용하면 GA(일반 공급)를 위해 이 트리거 옵션이 릴리스됩니다.

Security Center 트리거에 대한 자동 응답에서 워크플로 자동화 도구를 사용하는 방법을 알아봅니다.

규정 준수 평가에 대한 변경 사항을 사용하여 워크플로 자동화를 트리거합니다.

이제 작업 영역 스키마 및 논리 앱에서 평가 API 필드 'FirstEvaluationDate' 및 'StatusChangeDate'를 사용할 수 있습니다.

2021년 5월에 평가 API를 FirstEvaluationDate 및 StatusChangeDate라는 두 개의 새 필드로 업데이트했습니다. 자세한 내용은 두 개의 새 필드로 확장된 평가 API를 참조 하세요.

이러한 필드는 REST API, Azure Resource Graph, 연속 내보내기 및 CSV 내보내기를 통해 액세스할 수 있었습니다.

이 변경으로 Log Analytics 작업 영역 스키마 및 논리 앱에서 정보를 사용할 수 있게 되었습니다.

3월에는 Security Center 통합 Azure Monitor 통합 문서 환경을 발표했습니다(Security Center에 통합된 Azure Monitor 통합 문서 및 제공된 템플릿 3개 참조).

초기 릴리스에는 조직의 보안 태세에 대한 동적 및 시각적 보고서를 작성하는 세 가지 템플릿이 포함되어 있습니다.

이제 구독이 적용되는 규정 또는 업계 표준을 준수하는지 추적하기 위한 통합 문서가 추가되었습니다.

Security Center 데이터의 풍부한 대화형 보고서 만들기에서 이러한 보고서를 사용하거나 직접 빌드하는 방법을 알아봅니다.

Azure Security Center의 시간별 규정 준수 통합 문서

2021년 6월

6월의 업데이트 다음과 같습니다.

Key Vault용 Azure Defender에 대한 새 경고

Azure Defender for Key Vault에서 제공하는 위협 보호를 확장하기 위해 다음 경고를 추가했습니다.

경고(경고 유형) 설명 MITRE 전술 심각도
의심스러운 IP 주소에서 Key Vault에 액세스
(KV_SuspiciousIPAccess)		 Microsoft 위협 인텔리전스에서 의심스러운 IP 주소로 식별된 IP를 통해 Key Vault에 액세스했습니다. 인프라가 손상되었음을 나타낼 수 있습니다. 추가 조사를 권장합니다. Microsoft의 위협 인텔리전스 기능에 대해 자세히 알아보세요. 자격 증명 액세스 중간

자세한 내용은 다음을 참조하세요.

기본적으로 사용하지 않도록 설정된 CMK(고객 관리형 키)로 암호화하는 권장 사항

Security Center에는 다음과 같은 고객 관리형 키를 사용하여 미사용 데이터를 암호화하는 여러 권장 사항이 포함되어 있습니다.

  • 컨테이너 레지스트리는 CMK(고객 관리형 키)로 암호화해야 함
  • Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
  • Azure Machine Learning 작업 영역은 CMK(고객 관리형 키)로 암호화해야 합니다.

Azure의 데이터는 플랫폼 관리형 키를 사용하여 자동으로 암호화되므로 고객 관리형 키는 조직에서 적용하도록 선택한 특정 정책을 준수하는 데 필요한 경우에만 사용해야 합니다.

이 변경으로 CMK를 사용하는 권장 사항은 기본적으로 사용하지 않도록 설정됩니다. 조직과 관련된 경우 해당 보안 정책에 대한 Effect 매개 변수를 AuditIfNotExists 또는 Enforce로 변경하여 사용하도록 설정할 수 있습니다. 보안 권장 사항 사용에서 자세히 알아보세요.

이 변경 내용은 다음 예제와 같이 새 접두 사 [필요한 경우 사용]을 사용하여 권장 사항의 이름에 반영됩니다.

  • [필요한 경우 사용] 스토리지 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다.
  • [필요한 경우 사용] 컨테이너 레지스트리는 CMK(고객 관리형 키)를 사용하여 암호화해야 합니다.
  • [필요한 경우 사용] Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다.

Security Center의 CMK 권장 사항은 기본적으로 사용하지 않도록 설정됩니다.

Kubernetes 경고의 접두사가 "AKS_"에서 "K8S_"로 변경됨

Azure Defender for Kubernetes는 최근에 확장되어 온-프레미스 및 다중 클라우드 환경에서 호스트되는 Kubernetes 클러스터를 보호합니다. Azure Defender for Kubernetes를 사용하여 하이브리드 및 다중 클라우드 Kubernetes 배포 보호(미리 보기)에서 자세히 알아봅니다.

Azure Defender for Kubernetes에서 제공하는 보안 경고가 더 이상 Azure Kubernetes Service의 클러스터로 제한되지 않는다는 사실을 반영하기 위해 경고 유형의 접두사를 "AKS_"에서 "K8S_"로 변경했습니다. 필요한 경우 이름과 설명도 업데이트되었습니다. 예를 들면 다음과 같습니다.

경고(경고 유형) 설명
Kubernetes 침투 테스트 도구가 검색됨
(AKS_PenTestToolsKubeHunter)		 Kubernetes 감사 로그 분석에서 AKS 클러스터에서 Kubernetes 침투 테스트 도구의 사용을 감지했습니다. 이 동작은 합법적일 수 있지만, 공격자가 이러한 공용 도구를 악의적인 목적으로 사용할 수 있습니다.

이 내용이 다음으로 변경되었습니다.

경고(경고 유형) 설명
Kubernetes 침투 테스트 도구가 검색됨
(K8S_PenTestToolsKubeHunter)		 Kubernetes 감사 로그 분석에서 Kubernetes 클러스터에서 Kubernetes 침투 테스트 도구의 사용을 감지했습니다 . 이 동작은 합법적일 수 있지만, 공격자가 이러한 공용 도구를 악의적인 목적으로 사용할 수 있습니다.

"AKS_"로 시작하는 경고를 참조하는 모든 표시 안 함 규칙이 자동으로 변환되었습니다. SIEM 내보내기 또는 경고 유형별로 Kubernetes 경고를 참조하는 사용자 지정 자동화 스크립트를 설정한 경우 새 경고 유형으로 업데이트해야 합니다.

Kubernetes 경고의 전체 목록은 Kubernetes 클러스터에 대한 경고를 참조하세요.

"시스템 업데이트 적용" 보안 제어의 두 가지 권장 사항이 더 이상 사용되지 않음

다음 두 가지 권장 사항은 더 이상 사용되지 않습니다.

  • 클라우드 서비스 역할에 대해 OS 버전을 업데이트해야 합니다. 기본적으로 Azure는 Windows Server 2016과 같은 서비스 구성(.cscfg)에서 지정한 OS 제품군 내에서 게스트 OS를 지원되는 최신 이미지로 주기적으로 업데이트합니다.
  • Kubernetes 서비스를 취약하지 않은 Kubernetes 버전으로 업그레이드해야 함 - 이 권장 사항의 평가는 원하는 만큼 광범위하지 않습니다. 권장 사항을 보안 요구 사항에 더 잘 맞는 향상된 버전으로 바꿀 계획입니다.

2021년 5월

5월의 업데이트 다음을 포함합니다.

DNS 및 Resource Manager용 Azure Defender가 GA(일반 공급)용으로 출시

이 두 클라우드 네이티브 폭 위협 방지 계획은 이제 GA입니다.

이러한 새로운 보호는 위협 행위자의 공격에 대한 복원력을 크게 향상시키고 Azure Defender로 보호되는 Azure 리소스의 수를 크게 증가시킵니다.

이러한 계획을 사용하도록 설정하는 프로세스를 간소화하려면 권장 사항을 사용합니다.

  • Azure Defender for Resource Manager를 사용하도록 설정해야 함
  • Azure Defender for DNS를 사용하도록 설정해야 함

참고 항목

Azure Defender 계획을 사용하도록 설정하면 요금이 발생합니다. Security Center의 가격 책정 페이지에서 지역별 가격 정보에 대해 알아봅니다.

GA(일반 공급)를 위해 릴리스된 오픈 소스 관계형 데이터베이스용 Azure Defender

Azure Security Center에서 오픈 소스 관계형 데이터베이스를 포괄하는 새 번들로 SQL 보호에 대한 제안을 확장합니다.

  • Azure SQL 데이터베이스 서버 용 Azure Defender - Azure 네이티브 SQL Server 방어
  • 컴퓨터 의 SQL 서버용 Azure Defender - 하이브리드, 다중 클라우드 및 온-프레미스 환경에서 동일한 보호를 SQL 서버로 확장합니다.
  • 오픈 소스 관계형 데이터베이스 용 Azure Defender - Azure Databases for MySQL, PostgreSQL 및 MariaDB 단일 서버를 방어합니다.

오픈 소스 관계형 데이터베이스용 Azure Defender는 보안 위협에 대한 서버를 지속적으로 모니터링하고 Azure Database for MySQL, PostgreSQL 및 MariaDB에 대한 잠재적 위협을 나타내는 비정상적인 데이터베이스 활동을 검색합니다. 다음은 몇 가지 예입니다.

  • 무차별 암호 대입 공격 탐지 - 오픈 소스 관계형 데이터베이스용 Azure Defender는 성공적으로 시도된 무차별 암호 대입 공격에 대한 자세한 정보를 제공합니다. 이를 통해 환경에 대한 공격의 특성 및 상태 보다 완벽하게 이해하고 조사하고 대응할 수 있습니다.
  • 동작 경고 검색 - 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 대한 액세스 패턴의 변경과 같이 서버에서 의심스럽고 예기치 않은 동작을 경고합니다.
  • 위협 인텔리전스 기반 검색 - Azure Defender는 Microsoft의 위협 인텔리전스 및 방대한 기술 자료 노출 위협 경고에 적용하여 이에 대응할 수 있습니다.

오픈 소스 관계형 데이터베이스용 Azure Defender 소개에서 자세히 알아보세요.

Resource Manager용 Azure Defender의 새 경고

Azure Defender for Resource Manager에서 제공하는 위협 방지를 확장하기 위해 다음 경고를 추가했습니다.

경고(경고 유형) 설명 MITRE 전술 심각도
Azure 환경에 대해 비정상적인 방식으로 RBAC 역할에 부여된 권한(미리 보기)
(ARM_AnomalousRBACRoleAssignment)		 Resource Manager용 Azure Defender가 할당 시간, 할당자 위치, 할당자, 인증 방법, 할당된 엔터티, 사용되는 클라이언트 소프트웨어, 할당 익스텐트 등의 변칙으로 인해 테넌트의 동일한 담당자에 대해 동일한 할당자가 수행한 다른 할당과 비교할 때 일반적이지 않은 RBAC 역할 할당을 감지했습니다. 조직의 합법적인 사용자가 이 작업을 수행했을 수 있습니다. 또는 조직의 계정이 위반되었으며 위협 행위자가 소유한 추가 사용자 계정에 사용 권한을 부여하려고 시도하고 있음을 나타낼 수 있습니다. 수평 이동, 방어 우회 중간
의심스러운 방식으로 구독에 대해 생성된 권한 있는 사용자 지정 역할(미리 보기)
(ARM_PrivilegedRoleDefinitionCreation)		 Azure Defender for Resource Manager가 구독에서 권한 있는 사용자 지정 역할 정의의 의심스러운 생성을 감지했습니다. 조직의 합법적인 사용자가 이 작업을 수행했을 수 있습니다. 또는 조직의 계정이 위반되었으며 위협 행위자가 향후 탐지를 회피하는 데 사용할 권한 있는 역할을 만들려고 시도 중임을 나타낼 수 있습니다. 수평 이동, 방어 우회 낮음
의심스러운 IP 주소의 Azure Resource Manager 작업
(ARM_OperationFromSuspiciousIP)		 Azure Defender for Resource Manager는 위협 인텔리전스 피드에서 의심스러운 것으로 표시된 IP 주소에서 작업을 검색했습니다. 실행 중간
의심스러운 프록시 IP 주소의 Azure Resource Manager 작업(미리 보기)
(ARM_OperationFromSuspiciousProxyIP)		 Azure Defender for Resource Manager는 TOR과 같은 프록시 서비스와 연결된 IP 주소에서 리소스 관리 작업을 검색했습니다. 이 동작은 합법적일 수 있지만 위협 행위자가 원본 IP를 숨기려고 할 때 악의적인 활동에서 자주 볼 수 있습니다. 방어 회피 중간

자세한 내용은 다음을 참조하세요.

GitHub 워크플로 및 Azure Defender를 사용하여 컨테이너 이미지의 CI/CD 취약성 검사(미리 보기)

이제 DevSecOps 팀은 컨테이너 레지스트리용 Azure Defender를 사용하여 GitHub Action 워크플로를 관찰할 수 있습니다.

Trivy를 활용하는 컨테이너 이미지에 대한 새로운 취약성 검사 기능은 컨테이너 레지스트리에 이미지를 푸시하기 전에 컨테이너 이미지에서 일반적인 취약성을 검색하는 데 도움이 됩니다.

컨테이너 검사 보고서는 Azure Security Center에 요약되어 보안 팀이 취약한 컨테이너 이미지의 원본과 워크플로 및 리포지토리의 출처에 대한 이해를 향상할 수 있도록 합니다.

자세한 정보는 CI/CD 워크플로에서 취약한 컨테이너 이미지 식별을 참조하세요.

일부 권장 사항에 사용할 수 있는 추가 Resource Graph 쿼리

Security Center의 모든 권장 사항에는 Open 쿼리에서 Azure Resource Graph를 사용하여 영향을 받는 리소스의 상태 대한 정보를 볼 수 있는 옵션이 있습니다. 이 강력한 기능에 대한 자세한 내용은 ARG(Azure Resource Graph Explorer)의 권장 사항 데이터 검토를 참조하세요.

Security Center에는 VM, SQL 서버 및 해당 호스트 및 컨테이너 레지스트리에서 보안 취약성을 검사하는 기본 제공 취약성 스캐너가 포함되어 있습니다. 결과는 각 리소스 종류에 대한 모든 개별 결과를 단일 보기로 제공하는 권장 사항으로 반환됩니다. 권장 사항은 다음과 같습니다.

  • Azure Container Registry 이미지의 취약성을 수정해야 합니다(Qualys 제공).
  • 가상 머신의 취약성을 수정해야 함
  • SQL 데이터베이스가 발견한 취약성을 해결해야 함
  • 컴퓨터의 SQL Server는 발견한 취약성을 해결해야 함

이 변경으로 쿼리 열기 단추를 사용하여 보안 결과를 보여 주는 쿼리도 열 수 있습니다.

이제 쿼리 열기 단추에서 취약성 스캐너 관련 권장 사항에 대한 보안 결과를 보여 주는 심층 쿼리에 대한 옵션을 제공함

쿼리 열기 단추는 관련된 다른 권장 사항에 대한 추가 옵션도 제공합니다.

Security Center의 취약성 스캐너에 대해 자세히 알아보세요.

SQL 데이터 분류 권장 사항 심각도가 변경됨

SQL 데이터베이스에서 중요한 권장 사항 데이터의 심각도가 높음에서 음으로 변경되었습니다.

이는 향후 변경 내용 페이지에서 발표된 이 권장 사항에 대한 지속적인 변경 내용의 일부입니다.

신뢰할 수 있는 시작 기능을 사용하도록 설정하는 새로운 권장 사항(미리 보기)

Azure는 2세대 VM의 보안을 향상시키기 위한 원활한 방법으로 신뢰할 수 있는 시작을 제공합니다. 신뢰할 수 있는 시작은 지속적인 고급 공격 기술로부터 보호합니다. 신뢰할 수 있는 시작은 독립적으로 사용하도록 설정할 수 있는 몇 가지 조정된 인프라 기술로 구성되어 있습니다. 각 기술은 정교한 위협에 대한 또 다른 방어 계층을 제공합니다. Azure 가상 머신에 대한 신뢰할 수 있는 시작에 대해 자세히 알아봅니다.

Important

신뢰할 수 있는 시작에는 새 가상 머신을 생성해야 합니다. 처음에는 가상 머신 없이 만든 기존 가상 머신에서 신뢰할 수 있는 시작을 사용하도록 설정할 수 없습니다.

신뢰할 수 있는 시작은 현재 공개 미리 보기로 제공됩니다. 미리 보기는 서비스 수준 계약 없이 제공되며 프로덕션 워크로드에는 권장되지 않습니다. 특정 기능이 지원되지 않거나 기능이 제한될 수 있습니다.

Security Center의 권장 사항인 vTPM은 지원되는 가상 머신에서 사용하도록 설정되어야 하며, Azure VM이 vTPM을 사용하고 있는지 확인합니다. 이 가상화된 버전의 하드웨어 신뢰할 수 있는 플랫폼 모듈은 VM의 전체 부팅 체인(UEFI, OS, 시스템 및 드라이버)을 측정하여 증명을 사용하도록 설정합니다.

vTPM을 사용하도록 설정하면 게스트 증명 확장에서 보안 부팅의 유효성을 원격으로 검사할 수 있습니다. 다음 권장 사항은 이 확장이 배포되었는지 확인합니다.

  • 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정해야 합니다.
  • 지원되는 Windows 가상 머신에 게스트 증명 확장을 설치해야 함
  • 지원되는 Windows 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함
  • 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치해야 합니다.
  • 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함

Azure 가상 머신에 대한 신뢰할 수 있는 시작에 대해 자세히 알아봅니다.

Kubernetes 클러스터 강화에 대한 새로운 권장 사항(미리 보기)

다음 권장 사항을 통해 Kubernetes 클러스터를 더욱 강화할 수 있습니다.

  • Kubernetes 클러스터에서 기본 네임스페이스를 사용하지 않아야 함 - ConfigMap, Pod, Secret, Service 및 ServiceAccount 리소스 종류에 대한 무단 액세스를 방지하려면 Kubernetes 클러스터에서 기본 네임스페이스를 사용하지 않도록 합니다.
  • Kubernetes 클러스터에서 자동 탑재 API 자격 증명을 사용하지 않도록 설정해야 함 - 잠재적으로 손상된 Pod 리소스가 Kubernetes 클러스터에 대해 API 명령을 실행하지 못하도록 하려면 API 자격 증명 자동 탑재를 사용하지 않도록 설정합니다.
  • Kubernetes 클러스터는 CAPSYSADMIN 보안 기능을 부여해서는 안 됩니다.

Security Center가 Security Center의 컨테이너 보안에서 컨테이너화된 환경을 보호하는 방법을 알아봅니다.

평가 API가 두 개의 새 필드로 확장됨

평가 REST API다음 두 필드를 추가했습니다.

  • FirstEvaluationDate – 권장 사항이 만들어지고 처음 평가된 시간입니다. ISO 8601 형식으로 UTC 시간으로 반환됩니다.
  • StatusChangeDate – 권장 사항의 상태 마지막으로 변경된 시간입니다. ISO 8601 형식으로 UTC 시간으로 반환됩니다.

모든 권장 사항에 대해 이러한 필드의 초기 기본값은 다음과 같습니다 2021-03-14T00:00:00+0000000Z.

이 정보에 액세스하려면 아래 표의 메서드를 사용할 수 있습니다.

도구 세부 정보
REST API 호출 GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates
Azure Resource Graph securityresources
where type == "microsoft.security/assessments"
연속 내보내기 두 개의 전용 필드는 Log Analytics 작업 영역 데이터를 사용할 수 있습니다.
CSV 내보내기 두 필드가 CSV 파일에 포함됩니다.

평가 REST API대해 자세히 알아봅니다.

자산 인벤토리가 클라우드 환경 필터를 가져옵니다.

Security Center의 자산 인벤토리 페이지는 표시되는 리소스 목록을 빠르게 구체화하기 위한 많은 필터를 제공합니다. 자산 인벤토리를 사용하여 리소스 탐색 및 관리에 대해 자세히 알아보세요.

새 필터는 Security Center의 다중 클라우드 기능에 연결한 클라우드 계정에 따라 목록을 구체화하는 옵션을 제공합니다.

인벤토리의 환경 필터

다중 클라우드 기능에 대해 자세히 알아보세요.

2021년 4월

4월의 업데이트는 다음과 같습니다.

새로 고친 리소스 상태 페이지(미리 보기)

리소스 상태가 확장되고, 향상되고, 개선되어 단일 리소스의 전반적인 상태를 스냅샷 볼 수 있습니다.

리소스에 대한 자세한 정보와 해당 리소스에 적용되는 모든 권장 사항을 검토할 수 있습니다. 또한 Microsoft Defender의 고급 보호 플랜을 사용하는 경우 해당 특정 리소스에 대한 미해결 보안 경고도 볼 수 있습니다.

리소스에 대한 리소스 상태 페이지를 열려면 자산 인벤토리 페이지에서 리소스를 선택합니다.

Security Center 포털 페이지의 이 미리 보기 페이지에는 다음이 표시됩니다.

  1. 리소스 정보 - 리소스 그룹 및 연결된 구독, 지리적 위치 등입니다.
  2. 적용된 보안 기능 - 리소스에 대해 Azure Defender를 사용할 수 있는지 여부입니다.
  3. 미해결 권장 사항 및 경고 수 - 미해결 보안 권장 사항 및 Azure Defender 경고의 수입니다.
  4. 실행 가능한 권장 사항 및 경고 - 리소스에 적용되는 권장 사항 및 경고를 나열하는 두 개의 탭입니다.

가상 머신의 상태 정보를 보여 주는 Azure Security Center의 리소스 상태 페이지

자습서: 리소스 상태 조사에서 자세히 알아보세요.

최근 풀한 컨테이너 레지스트리 이미지가 매주 다시 검색됩니다(GA(일반 공급) 용으로 릴리스됨)

컨테이너 레지스트리용 Azure Defender에는 기본 제공 취약성 스캐너가 포함되어 있습니다. 이 스캐너는 레지스트리에 푸시하는 모든 이미지와 지난 30일 이내에 끌어온 이미지를 즉시 검사합니다.

새로운 취약성이 매일 발견됩니다. 이 업데이트를 사용하면 지난 30일 동안 레지스트리에서 가져온 컨테이너 이미지가 매주 다시 검사됩니다. 이렇게 하면 새로 검색된 취약성이 이미지에서 식별됩니다.

스캔은 이미지별로 청구되므로 이러한 재검사에 대한 추가 요금은 없습니다.

컨테이너 레지스트리용 Azure Defender를 사용하여 이미지에서 취약성을 검사하는 이 스캐너에 대해 자세히 알아봅니다.

Azure Defender for Kubernetes를 사용하여 하이브리드 및 다중 클라우드 Kubernetes 배포 보호(미리 보기)

Azure Defender for Kubernetes는 배포되는 위치에 관계없이 클러스터를 보호하도록 위협 방지 기능을 확장하고 있습니다. 이는 Azure Arc 지원 Kubernetes 및 새로운 확장 기능과 통합하여 사용하도록 설정되었습니다.

비 Azure Kubernetes 클러스터에서 Azure Arc를 사용하도록 설정한 경우 Azure Security Center의 새로운 권장 사항은 몇 번의 클릭만으로 Azure Defender 에이전트를 배포하도록 제공합니다.

권장 사항(Azure Arc 지원 Kubernetes 클러스터에는 Azure Defender의 확장이 설치되어 있어야 함)과 확장을 사용하여 관리되는 Kubernetes 서비스가 아닌 다른 클라우드 공급자에 배포된 Kubernetes 클러스터를 보호합니다.

Azure Security Center, Azure Defender 및 Azure Arc 지원 Kubernetes 간의 이러한 통합은 다음을 제공합니다.

  • 보호되지 않는 Azure Arc 지원 Kubernetes 클러스터에 Azure Defender 에이전트를 쉽게 프로비전(수동 및 대규모)
  • Azure Arc Portal에서 Azure Defender 에이전트 및 해당 프로비저닝 상태 모니터링
  • Security Center의 보안 권장 사항은 Azure Arc Portal의 새 보안 페이지에 보고됩니다.
  • Azure Defender에서 식별된 보안 위협은 Azure Arc Portal의 새 보안 페이지에 보고됩니다.
  • Azure Arc 지원 Kubernetes 클러스터를 Azure Security Center 플랫폼 및 환경에 통합

온-프레미스 및 다중 클라우드 Kubernetes 클러스터에서 Azure Defender for Kubernetes 사용에서 자세히 알아보세요.

Azure Arc 지원 Kubernetes 클러스터용 Azure Defender 에이전트를 배포하기 위한 Azure Security Center의 권장 사항입니다.

Azure Defender와 엔드포인트용 Microsoft Defender 통합은 이제 GA(일반 공급)를 위해 릴리스된 Windows Virtual Desktop에서 Windows Server 2019 및 Windows 10을 지원합니다.

Microsoft Defender for Endpoint는 클라우드에서 제공하는 전체적인 엔드포인트 보안 솔루션입니다. 위험 기반 취약성 관리 및 평가뿐 아니라 엔드포인트 검색 및 응답(EDR)도 제공합니다. 엔드포인트용 Defender를 Azure Security Center와 함께 사용할 경우의 이점에 대한 전체 목록은 Security Center의 통합 EDR 솔루션인 엔드포인트용 Microsoft Defender 사용하여 엔드포인트 보호를 참조하세요.

실행 중인 Windows 서버에서 서버용 Azure Defender를 사용하도록 설정하면 엔드포인트용 Defender용 라이선스가 플랜에 포함됩니다. 서버에 Azure Defender를 사용하도록 이미 설정했고 구독에 Windows Server 2019 서버가 있는 경우 엔드포인트용 Defender가 이 업데이트와 함께 자동으로 수신됩니다. 수동 작업이 필요하지 않습니다.

이제 Windows Virtual Desktop에서 Windows Server 2019 및 Windows 10을 포함하도록 지원이 확장되었습니다.

참고 항목

Windows Server 2019 서버에서 엔드포인트용 Defender를 사용하도록 설정하는 경우 엔드포인트용 Microsoft Defender 통합 사용에 설명된 필수 구성 요소를 충족하는지 확인합니다.

DNS 및 Resource Manager용 Azure Defender를 사용하도록 설정하는 권장 사항(미리 보기)

Resource Manager용 Azure Defender 및 DNS용 Azure Defender를 사용하도록 설정하는 프로세스를 간소화하기 위해 두 가지 새로운 권장 사항이 추가되었습니다.

  • Azure Defender for Resource Manager를 사용하도록 설정해야 합니다. Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다.
  • DNS용 Azure Defender를 사용하도록 설정 해야 합니다. Defender for DNS는 Azure 리소스의 모든 DNS 쿼리를 지속적으로 모니터링하여 클라우드 리소스에 대한 추가 보호 계층을 제공합니다. Azure Defender는 DNS 계층에서 의심스러운 활동에 대해 경고합니다.

Azure Defender 계획을 사용하도록 설정하면 요금이 발생합니다. Security Center의 가격 책정 페이지에서 지역별 가격 정보에 대해 알아봅니다.

미리 보기 추천 사항은 리소스를 비정상으로 렌더링하지 않으며 보안 점수 계산에 포함되지 않습니다. 미리 보기 기간이 종료되면 점수에 기여할 수 있도록 가능한 경우 수정합니다. Azure Security Center의 추천 사항 수정에서 이러한 추천 사항에 대응하는 방법에 대해 자세히 알아보세요.

Azure CIS 1.3.0, CMMC Level 3 및 뉴질랜드 ISM 제한됨 등 3가지 규정 준수 표준이 추가됨

Azure Security Center와 함께 사용할 수 있도록 3가지 표준을 추가했습니다. 규정 준수 대시보드를 사용하면 이제 다음을 통해 규정 준수를 추적할 수 있습니다.

규정 준수 대시보드의 표준 집합 사용자 지정에 설명된 대로 구독에 할당할 수 있습니다.

Azure Security Center의 규정 준수 대시보드와 함께 사용할 수 있도록 추가된 3가지 표준입니다.

자세한 내용은 다음을 참조하세요.

Azure의 게스트 구성 확장은 가상 머신의 게스트 내 설정이 강화되도록 Security Center에 보고합니다. Arc Connected Machine 에이전트에 포함되어 있으므로 Arc 지원 서버에는 확장이 필요하지 않습니다. 확장을 사용하려면 머신에서 시스템 관리 ID가 필요합니다.

이 확장을 최대한 활용하기 위해 Security Center에 4개의 새로운 권장 사항을 추가했습니다.

  • 두 가지 권장 사항은 확장 및 필요한 시스템 관리 ID를 설치하라는 메시지를 표시합니다.

    • 머신에 게스트 구성 확장을 설치해야 함
    • 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함

  • 확장이 설치되고 실행되면 컴퓨터 감사를 시작하고 운영 체제 구성 및 환경 설정과 같은 설정을 강화하라는 메시지가 표시됩니다. 다음 두 가지 권장 사항은 설명된 대로 Windows 및 Linux 머신을 강화하라는 메시지를 표시합니다.

    • Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함
    • Linux 머신에 대한 인증에 SSH 키가 필요함

Azure Policy의 게스트 구성 이해에 대해 자세히 알아보세요.

CMK 권장 사항이 모범 사례 보안 제어로 이동됨

모든 조직의 보안 프로그램에는 데이터 암호화 요구 사항이 포함되어 있습니다. 기본적으로 Azure 고객의 데이터는 미사용 시 서비스 관리형 키를 사용하여 암호화됩니다. 그러나 CMK(고객 관리형 키)는 일반적으로 규정 준수 표준을 충족해야 합니다. CMK를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. 이렇게 하면 회전 및 관리를 비롯한 주요 수명 주기에 대한 모든 권한과 책임이 있습니다.

Azure Security Center의 보안 제어는 관련 보안 권장 사항의 논리적 그룹이며 취약한 공격 노출 영역을 반영합니다. 모든 리소스에 대해 컨트롤에 나열된 모든 권장 사항을 수정하는 경우 각 컨트롤에는 보안 점수에 추가할 수 있는 최대 포인트 수가 있습니다. 보안 구현 모범 사례 보안 제어는 0포인트의 가치가 있습니다. 따라서 이 컨트롤의 권장 사항은 보안 점수에 영향을 주지 않습니다.

아래에 나열된 권장 사항은 선택적 특성을 더 잘 반영하기 위해 보안 구현 모범 사례 보안 제어로 이동되고 있습니다. 이러한 이동은 이러한 권장 사항이 목표를 달성하기 위해 가장 적절한 제어에 있는지 확인합니다.

  • Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
  • Azure Machine Learning 작업 영역은 CMK(고객 관리형 키)로 암호화해야 합니다.
  • Azure AI 서비스 계정은 CMK(고객 관리형 키)를 사용하여 데이터 암호화를 사용하도록 설정해야 합니다.
  • 컨테이너 레지스트리는 CMK(고객 관리형 키)로 암호화해야 함
  • SQL Managed Instance는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
  • SQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
  • 스토리지 계정은 암호화에 CMK(고객 관리형 키)를 사용해야 함

보안 컨트롤의 각 보안 제어에 있는 권장 사항 및 권장 사항을 알아봅니다.

11 Azure Defender 경고가 더 이상 사용되지 않음

아래에 나열된 11개의 Azure Defender 경고는 더 이상 사용되지 않습니다.

  • 새 경고는 이러한 두 경고를 대체하고 더 나은 적용 범위를 제공합니다.

    AlertType AlertDisplayName
    ARM_MicroBurstDomainInfo 미리 보기 - MicroBurst 도구 키트 "Get-AzureDo기본Info" 함수 실행이 검색됨
    ARM_MicroBurstRunbook 미리 보기 - MicroBurst 도구 키트 "Get-AzurePasswords" 함수 실행이 검색됨

  • 이러한 9개의 경고는 이미 사용되지 않는 Azure IPC(Active Directory Identity Protection 커넥터)와 관련이 있습니다.

    AlertType AlertDisplayName
    UnfamiliarLocation 일반적이지 않은 로그인 속성
    AnonymousLogin 익명 IP 주소
    InfectedDeviceLogin 맬웨어 연결 IP 주소
    ImpossibleTravel 비정상적 이동
    MaliciousIP 악성 IP 주소
    LeakedCredentials 유출된 자격 증명
    PasswordSpray 암호 스프레이
    LeakedCredentials Azure AD 위협 인텔리전스
    AADAI Azure AD AI

    이러한 9가지 IPC 경고는 Security Center 경고가 아닙니다. AAD(Azure Active Directory) IPC(Identity Protection 커넥터)의 일부로 Security Center로 전송되었습니다. 지난 2년 동안 이러한 경고를 확인한 고객은 2019년 또는 그 이전에 내보내기(커넥터에서 ASC로)를 구성한 조직뿐입니다. AAD IPC는 자체 경고 시스템에 계속 표시되었으며 Azure Sentinel에서 계속 사용할 수 있습니다. 유일한 변경 내용은 Security Center에 더 이상 표시되지 않는다는 것입니다.

"시스템 업데이트 적용" 보안 제어에서 더 이상 사용되지 않는 두 가지 권장 사항

다음 두 가지 권장 사항은 더 이상 사용되지 않으며 변경으로 인해 보안 점수에 약간의 영향을 줄 수 있습니다.

  • 시스템 업데이트를 적용하려면 머신을 다시 시작해야 함
  • 모니터링 에이전트는 컴퓨터에 설치해야 합니다. 이 권장 사항은 온-프레미스 머신에만 관련되며 일부 논리는 다른 권장 사항으로 전송됩니다. Log Analytics 에이전트 상태 문제는 머신에서 해결되어야 합니다.

연속 내보내기 및 워크플로 자동화 구성을 확인하여 이러한 권장 사항이 포함되어 있는지 확인하는 것이 좋습니다. 또한 대시보드 또는 대시보드를 사용할 수 있는 다른 모니터링 도구도 그에 따라 업데이트해야 합니다.

보안 권장 사항 참조 페이지에서 이러한 권장 사항에 대해 자세히 알아봅니다.

Azure Defender 대시보드에서 제거되는 머신 타일의 Azure Defender for SQL

Azure Defender 대시보드의 적용 범위 영역에는 사용자 환경에 대한 관련 Azure Defender 계획에 대한 타일이 포함되어 있습니다. 보호 및 보호되지 않는 리소스 수 보고와 관련된 문제로 인해 문제가 해결될 때까지 컴퓨터에서 Azure Defender for SQL에 대한 상태 리소스 범위를 일시적으로 제거하기로 결정했습니다.

보안 컨트롤 간에 이동된 21개의 권장 사항

다음 권장 사항은 다른 보안 제어로 이동했습니다. 보안 제어는 관련 보안 권장 사항의 논리적 그룹이며 취약한 공격 노출 영역을 반영합니다. 이렇게 이동하면 이러한 각 권장 사항이 목표를 달성하기 위해 가장 적절한 제어에 있게 됩니다.

보안 컨트롤의 각 보안 제어에 있는 권장 사항 및 권장 사항을 알아봅니다.

추천 변경 및 영향
SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다.
SQL 관리형 인스턴스에서 취약성 평가를 사용하도록 설정해야 합니다.
SQL 데이터베이스의 취약성을 새로 수정해야 합니다.
VM의 SQL 데이터베이스에 대한 취약성을 수정해야 합니다.		 취약성 수정에서 이동(6포인트 가치)
보안 구성을 수정합니다(4포인트 가치).
사용자 환경에 따라 이러한 권장 사항은 점수에 미치는 영향이 줄어듭니다.
구독에 둘 이상의 소유자를 할당해야 합니다.
Automation 계정 변수를 암호화해야 함
IoT 디바이스 - 감사 프로세스에서 이벤트 전송을 중지했습니다.
IoT 디바이스 - 운영 체제 기준 유효성 검사 실패
IoT 디바이스 - TLS 암호화 도구 모음 업그레이드 필요
IoT 디바이스 - 디바이스에서 포트 열기
IoT 디바이스 - 체인 중 하나에서 허용되는 방화벽 정책이 발견됨
IoT 디바이스 - 체인 중 하나에서 허용되는 방화벽 정책이 발견됨
IoT 디바이스 - 출력 체인에서 허용되는 방화벽 규칙이 발견됨
IoT Hub의 진단 로그를 사용하도록 설정해야 합니다.
IoT 디바이스 - 사용량이 적은 메시지를 보내는 에이전트
IoT 디바이스 - 기본 IP 필터 정책은 거부해야 함
IoT 디바이스 - IP 필터 규칙 큰 IP 범위
IoT 디바이스 - 에이전트 메시지 간격 및 크기를 조정해야 함
IoT 디바이스 - 동일한 인증 자격 증명
IoT 디바이스 - 감사된 프로세스가 이벤트 전송을 중지했습니다.
IoT 디바이스 - OS(운영 체제) 기준 구성을 수정해야 함		 보안 모범 사례 구현으로 이동합니다.
권장 사항이 아무런 가치가 없는 보안 구현 모범 사례 보안 제어로 이동하면 권장 사항이 더 이상 보안 점수에 영향을 주지 않습니다.

2021년 3월

3월의 업데이트 다음과 같습니다.

Security Center에 Azure 방화벽 관리 통합

Azure Security Center를 열면 첫 번째 페이지가 개요 페이지로 표시됩니다.

이 대화형 대시보드는 하이브리드 클라우드 워크로드의 보안 태세에 대한 통합 보기를 제공합니다. 또한 보안 경고, 적용 범위 정보 등을 보여 줍니다.

중앙 환경에서 보안 상태 볼 수 있도록 Azure Firewall Manager를 이 대시보드에 통합했습니다. 이제 모든 네트워크에서 방화벽 검사 상태 검사 Security Center부터 Azure Firewall 정책을 중앙에서 관리할 수 있습니다.

Azure Security Center의 개요 페이지에서 이 대시보드에 대해 자세히 알아보세요.

Azure Firewall용 타일이 있는 Security Center의 개요 대시보드

SQL 취약성 평가에는 이제 "규칙 사용 안 함" 환경(미리 보기)이 포함됩니다.

Security Center에는 잠재적 데이터베이스 취약성을 검색, 추적 및 수정하는 데 도움이 되는 기본 제공 취약점 스캐너가 포함되어 있습니다. 평가 검사의 결과는 SQL 머신의 보안 상태에 대한 개요와 보안 결과에 대한 세부 정보를 제공합니다.

조직에서 결과를 수정하지 않고 무시해야 하는 요구 사항이 있으면 필요에 따라 이 결과를 사용하지 않도록 설정할 수 있습니다. 사용하지 않도록 설정된 결과는 보안 점수에 영향을 주거나 원치 않는 노이즈를 생성하지 않습니다.

특정 결과 사용 안 함에서 자세히 알아보세요.

Security Center에 Azure Monitor 통합 문서를 통합하고 세 가지 템플릿 제공

Ignite Spring 2021의 일환으로 Security Center에서 통합된 Azure Monitor 통합 문서 환경을 발표했습니다.

새로운 통합 환경을 활용하여 Security Center 갤러리에서 기본 제공 템플릿 사용을 시작할 수 있습니다. 통합 문서 템플릿을 사용하여 동적 및 시각적 보고서에 액세스하고 빌드하여 조직의 보안 상태를 추적할 수 있습니다. 또한 Security Center 데이터 또는 지원되는 다른 데이터 형식을 기반으로 새 통합 문서를 만들고 Security Center의 GitHub 커뮤니티에서 커뮤니티 통합 문서를 신속하게 배포할 수 있습니다.

세 가지 템플릿 보고서가 제공됩니다.

  • 시간 경과에 따른 보안 점수 - 구독의 점수와 리소스에 대한 권장 사항의 변경 내용 추적
  • 시스템 업데이트 - 리소스, OS, 심각도 등을 통해 누락된 시스템 업데이트 보기
  • 취약성 평가 결과 - Azure 리소스의 취약성 검사 결과 보기

Security Center 데이터의 풍부한 대화형 보고서 만들기에서 이러한 보고서를 사용하거나 직접 빌드하는 방법을 알아봅니다.

시간별 보안 점수 보고서입니다.

이제 규정 준수 대시보드에 Azure 감사 보고서(미리 보기)가 포함됩니다.

이제 규정 준수 대시보드의 도구 모음에서 Azure 및 Dynamics 인증 보고서를 다운로드할 수 있습니다.

규정 준수 대시보드의 도구 모음

관련 보고서 유형(PCI, SOC, ISO 등)에 대한 탭을 선택하고 필터를 사용하여 필요한 특정 보고서를 찾을 수 있습니다.

규정 준수 대시보드에서 표준을 관리하는 방법에 대해 자세히 알아봅니다.

사용 가능한 Azure 감사 보고서 목록을 필터링합니다.

"ARG에서 탐색"을 사용하여 Azure Resource Graph에서 권장 사항 데이터를 볼 수 있습니다.

권장 사항 세부 정보 페이지에는 이제 "ARG에서 탐색" 도구 모음 단추가 포함됩니다. 이 단추를 사용하여 Azure Resource Graph 쿼리를 열고 권장 사항의 데이터를 탐색, 내보내기 및 공유합니다.

ARG(Azure Resource Graph)의 강력한 필터링, 그룹화 및 정렬 기능을 통해 클라우드 환경에서 리소스 정보에 즉시 액세스할 수 있습니다. Azure 구독 간에 프로그래밍 방식으로 또는 Azure Portal 내에서 정보를 쿼리하는 빠르고 효율적인 방법입니다.

ARG(Azure Resource Graph)에 대해 자세히 알아보세요.

Azure Resource Graph에서 권장 사항 데이터를 탐색합니다.

워크플로 자동화 배포에 대한 정책 업데이트

조직의 모니터링 및 인시던트 대응 프로세스를 자동화하면 보안 인시던트를 조사하고 완화하는 데 걸리는 시간을 크게 향상시킬 수 있습니다.

자동화를 조직 전체에 배포할 수 있도록 워크플로 자동화 프로시저를 만들고 구성하는 다음과 같은 세 가지 Azure Policy 'DeployIfNotExist' 정책을 제공합니다.

목표 정책 Policy ID
보안 경고에 대한 워크플로 자동화 Azure Security Center 경고에 대한 워크플로 자동화 배포 f1525828-9a90-4fcf-be48-268cdd02361e
보안 추천 사항에 대한 워크플로 자동화 Azure Security Center 권장 사항에 대한 워크플로 자동화 배포 73d6ab6c-2475-4850-afd6-43795f3492ef
규정 준수 변경에 대한 워크플로 자동화 Azure Security Center 규정 준수를 위한 워크플로 자동화 배포 509122b9-ddd9-47ba-a5f1-d0dac20be63c

이러한 정책의 기능에는 다음 두 가지 업데이트가 있습니다.

  • 할당되면 다시 기본 적용에 의해 활성화됩니다.
  • 이제 이러한 정책을 사용자 지정하고 매개 변수가 이미 배포된 후에도 모든 매개 변수를 업데이트할 수 있습니다. 예를 들어 평가 키를 추가하거나 편집할 수 있습니다.

워크플로 자동화 템플릿을 시작합니다.

Security Center 트리거에 대한 응답 자동화 방법에 대해 자세히 알아보세요.

두 가지 레거시 권장 사항은 더 이상 Azure 활동 로그에 직접 데이터를 쓰지 않습니다.

Security Center는 거의 모든 보안 권장 사항에 대한 데이터를 Azure Advisor에 전달하여 Azure 활동 로그씁니다.

두 가지 권장 사항의 경우 데이터가 Azure 활동 로그에 동시에 직접 씁니다. 이 변경으로 Security Center는 이러한 레거시 보안 권장 사항에 대한 데이터를 활동 로그에 직접 쓰는 것을 중지합니다. 대신, 다른 모든 권장 사항과 마찬가지로 Azure Advisor로 데이터를 내보내고 있습니다.

두 가지 레거시 권장 사항은 다음과 같습니다.

  • 머신에서 엔드포인트 보호 상태 문제를 해결해야 함
  • 머신 보안 구성의 취약성을 수정해야 합니다.

활동 로그의 "TaskDiscovery 유형 권장 사항" 범주에서 이러한 두 권장 사항에 대한 정보에 액세스한 경우 더 이상 사용할 수 없습니다.

권장 사항 페이지 개선

더 많은 정보를 한눈에 볼 수 있도록 향상된 버전의 권장 사항 목록을 릴리스했습니다.

이제 페이지에 다음이 표시됩니다.

  1. 각 보안 컨트롤의 최대 점수 및 현재 점수입니다.
  2. 수정 및 미리 보기같은 태그를 대체하는 아이콘입니다.
  3. 각 권장 사항과 관련된 정책 이니셔티브를 보여 주는 새 열 - "컨트롤별 그룹화"를 사용하지 않도록 설정할 때 표시됩니다.

Azure Security Center의 권장 사항 페이지 개선 사항 - 2021년 3월

Azure Security Center의 권장 사항 '플랫' 목록 개선 사항 - 2021년 3월

Azure Security Center보안 권장 사항에 대해 자세히 알아보세요.

2021년 2월

2월의 업데이트 다음과 같습니다.

GA(일반 공급)를 위해 릴리스된 Azure Portal의 새 보안 경고 페이지

Azure Security Center의 보안 경고 페이지는 다음을 제공하도록 다시 디자인되었습니다.

  • 경고 에 대한 심사 환경 개선 - 경고 피로를 줄이고 가장 관련성이 큰 위협에 더 쉽게 집중할 수 있도록 이 목록에는 사용자 지정 가능한 필터 및 그룹화 옵션이 포함되어 있습니다.
  • 경고 목록 의 자세한 정보(예: MITRE ATT&ACK 전술)
  • 샘플 알림을 만드는 단추 - Azure Defender 기능을 평가하고 알림을 테스트 구성(SIEM 통합, 메일 알림 및 워크플로 자동화의 경우) 모든 Azure Defender 계획에서 샘플 경고를 만들 수 있습니다.
  • Azure Sentinel의 인시던트 환경 과 일치 - 두 제품을 모두 사용하는 고객을 위해 두 제품 간 전환은 이제 더 간단한 환경이며 다른 제품에서 쉽게 배울 수 있습니다.
  • 대규모 경고 목록에 대한 성능 향상
  • 경고 목록 키보드 탐색.
  • Azure Resource Graph 의 경고 - 모든 리소스에 대한 Kusto와 유사한 API인 Azure Resource Graph에서 경고를 쿼리할 수 있습니다. 이는 자체 경고 대시보드를 빌드하는 경우에도 유용합니다. Azure Resource Graph에 대한 자세한 정보.
  • 샘플 경고 기능 만들기 - 새 경고 환경에서 샘플 경고를 만들려면 샘플 Azure Defender 경고 생성을 참조 하세요.

Kubernetes 워크로드 보호 권장 사항이 GA(일반 공급)로 릴리스됨

Kubernetes 워크로드 보호에 대한 권장 사항 집합의 GA(일반 공급)를 발표하게 되어 기쁩니다.

Kubernetes 워크로드를 기본적으로 안전하게 보호하기 위해 Security Center에서 Kubernetes 허용 제어가 있는 적용 옵션을 포함하여 Kubernetes 수준 보안 강화 권장 사항이 추가되었습니다.

AKS(Azure Kubernetes Service) 클러스터에 Kubernetes용 Azure Policy가 설치되면 Kubernetes API 서버에 대한 모든 요청은 클러스터에 유지되기 전에 13개의 보안 권장 사항으로 표시되는 미리 정의된 모범 사례 집합에 대해 모니터링됩니다. 그런 다음, 모범 사례를 적용하고 향후 워크로드에 대해 위임하도록 구성할 수 있습니다.

예를 들어 권한 있는 컨테이너를 만들지 않도록 위임할 수 있습니다. 그러면, 이러한 작업에 대한 이후의 모든 요청이 차단됩니다.

Kubernetes 허용 제어를 사용하는 워크로드 보호 모범 사례에 대해 자세히 알아보세요.

참고 항목

권장 사항은 미리 보기로 제공되는 동안 AKS 클러스터 리소스를 비정상으로 렌더링하지 않았으며 보안 점수 계산에 포함되지 않았습니다. 이 GA 발표와 함께 점수 계산에 포함됩니다. 아직 수정하지 않은 경우 보안 점수에 약간의 영향을 줄 수 있습니다. 가능한 경우 Azure Security Center의 권장 사항 수정에서 설명한 대로 이러한 권장 사항을 수정합니다.

Azure Defender와의 엔드포인트용 Microsoft Defender 통합은 이제 Windows Virtual Desktop에서 Windows Server 2019 및 Windows 10을 지원합니다(미리 보기)

Microsoft Defender for Endpoint는 클라우드에서 제공하는 전체적인 엔드포인트 보안 솔루션입니다. 위험 기반 취약성 관리 및 평가뿐 아니라 엔드포인트 검색 및 응답(EDR)도 제공합니다. 엔드포인트용 Defender를 Azure Security Center와 함께 사용할 경우의 이점에 대한 전체 목록은 Security Center의 통합 EDR 솔루션인 엔드포인트용 Microsoft Defender 사용하여 엔드포인트 보호를 참조하세요.

실행 중인 Windows 서버에서 서버용 Azure Defender를 사용하도록 설정하면 엔드포인트용 Defender용 라이선스가 플랜에 포함됩니다. 서버에 Azure Defender를 사용하도록 이미 설정했고 구독에 Windows Server 2019 서버가 있는 경우 엔드포인트용 Defender가 이 업데이트와 함께 자동으로 수신됩니다. 수동 작업이 필요하지 않습니다.

이제 Windows Virtual Desktop에서 Windows Server 2019 및 Windows 10을 포함하도록 지원이 확장되었습니다.

참고 항목

Windows Server 2019 서버에서 엔드포인트용 Defender를 사용하도록 설정하는 경우 엔드포인트용 Microsoft Defender 통합 사용에 설명된 필수 구성 요소를 충족하는지 확인합니다.

권장 사항 세부 정보 페이지에서 정책으로 직접 연결

권장 사항에 대한 세부 정보를 검토할 때 기본 정책을 볼 수 있으면 도움이 되는 경우가 많습니다. 정책에서 지원하는 모든 권장 사항에 대해 권장 사항 세부 정보 페이지의 새 링크가 있습니다.

권장 사항을 지원하는 특정 정책에 대한 Azure Policy 페이지로 연결됩니다.

이 링크를 사용하여 정책 정의를 확인하고 평가 논리를 검토합니다.

보안 권장 사항 참조 가이드에서 권장 사항 목록을 검토하는 경우 정책 정의 페이지에 대한 링크도 표시됩니다.

Azure Security Center 권장 사항 참조 페이지에서 직접 특정 정책에 대한 Azure Policy 페이지에 액세스합니다.

SQL 데이터 분류 권장 사항은 더 이상 보안 점수에 영향을 주지 않습니다.

SQL 데이터베이스의 중요한 권장 사항 데이터는 더 이상 보안 점수에 영향을 주지 않습니다. 데이터 분류 보안 적용 컨트롤의 유일한 권장 사항이므로 이제 컨트롤의 보안 점수 값이 0입니다.

Security Center의 모든 보안 컨트롤 전체 목록과 해당 점수 및 각 권장 사항 목록은 보안 컨트롤 및 권장 사항을 참조 하세요.

규정 준수 평가 변경 사항으로 워크플로 자동화가 트리거될 수 있음(미리 보기)

워크플로 자동화를 위한 트리거 옵션인 규정 준수 평가 변경에 세 번째 데이터 형식을 추가했습니다.

Security Center 트리거에 대한 자동 응답에서 워크플로 자동화 도구를 사용하는 방법을 알아봅니다.

규정 준수 평가에 대한 변경 사항을 사용하여 워크플로 자동화를 트리거합니다.

자산 인벤토리 페이지 개선 사항

Security Center의 자산 인벤토리 페이지가 개선되었습니다.

  • 이제 페이지 맨 위에 있는 요약에 등록되지 않은 구독이 포함되며 Security Center를 사용하지 않는 구독 수가 표시됩니다.

    자산 인벤토리 페이지의 맨 위에 있는 요약에서 등록되지 않은 구독의 수입니다.

  • 필터는 다음을 포함하도록 확장 및 향상되었습니다.

    • 개수 - 각 필터는 각 범주의 조건을 충족하는 리소스 수를 표시합니다.

      Azure Security Center의 자산 인벤토리 페이지에 있는 필터의 개수입니다.

    • 예외 필터 (선택 사항)를 포함합니다. 예외가 있는/없는 리소스로 결과를 좁힐 수 있습니다. 이 필터는 기본적으로 표시되지 않지만 필터 추가 단추에서 액세스할 수 있습니다.

      Azure Security Center의 자산 인벤토리 페이지에서 필터 '제외 포함' 추가

자산 인벤토리를 사용하여 리소스를 탐색하고 관리하는 방법에 대해 자세히 알아봅니다.

2021년 1월

1월의 업데이트 다음을 포함합니다.

Azure 보안 벤치마크는 이제 Azure Security Center의 기본 정책 이니셔티브입니다.

Azure 보안 벤치마크는 일반적인 규정 준수 프레임워크를 기반으로 하는 보안 및 규정 준수 모범 사례에 대해 Microsoft에서 작성한 Azure 관련 지침 세트입니다. 널리 인정받는 이 벤치마크는 클라우드 중심 보안에 초점을 맞춘 CIS(Center for Internet Security)NIST(National Institute of Standards and Technology)의 컨트롤을 기반으로 합니다.

최근 몇 개월 동안 Security Center의 기본 제공 보안 권장 사항 목록은 이 벤치마크의 적용 범위를 확장하기 위해 크게 증가했습니다.

이번 릴리스부터 벤치마크는 Security Center 권장 사항의 기반이 되었으며 기본 정책 이니셔티브로 완전히 통합되었습니다.

모든 Azure 서비스에는 설명서에 보안 기준 페이지가 있습니다. 이러한 기준은 Azure Security Benchmark를 기반으로 합니다.

Security Center의 규정 준수 대시보드를 사용하는 경우 전환 기간 동안 두 가지 벤치마크 인스턴스를 볼 수 있습니다.

Azure Security Benchmark를 보여 주는 Azure Security Center의 규정 준수 대시보드

기존 권장 사항은 영향을 받지 않으며 벤치마크가 증가함에 따라 변경 내용이 Security Center 내에 자동으로 반영됩니다.

자세한 내용은 다음 페이지를 참조하세요.

온-프레미스 및 다중 클라우드 머신의 취약성 평가가 GA(일반 공급)를 위해 릴리스되었습니다.

당사는 10월에 서버용 Azure Defender의 통합 취약성 평가 스캐너(Qualys 기반)로 Azure Arc 사용 서버를 검색하는 기능의 미리 보기를 발표했습니다.

이제 GA(일반 공급)를 위해 릴리스되었습니다.

비 Azure 머신에서 Azure Arc를 사용하도록 설정한 경우 Security Center는 통합 취약성 스캐너를 수동으로 대규모로 배포할 수 있습니다.

이번 업데이트를 통해 모든 Azure 및 비-Azure 자산의 취약성 관리 프로그램을 통합하는 서버용 Azure Defender의 강력한 성능을 발휘할 수 있습니다.

주요 기능:

  • Azure Arc 머신의 VA(취약성 평가) 스캐너 프로비저닝 상태 모니터링
  • 보호되지 않는 Windows 및 Linux Azure Arc 머신에 통합 VA 에이전트 프로비전(수동 및 대규모)
  • 배포된 에이전트에서 탐지된 취약성 수신 및 분석(수동 및 대규모로)
  • Azure VM 및 Azure Arc 머신에 대한 통합 환경

하이브리드 컴퓨터에 통합 Qualys 취약성 스캐너 배포에 대해 자세히 알아보세요.

Azure Arc 지원 서버에 대해 자세히 알아보세요.

이제 관리 그룹의 보안 점수를 미리 보기에서 볼 수 있음

이제 보안 점수 페이지에 구독 수준 외에도 관리 그룹에 대한 집계된 보안 점수가 표시됩니다. 이제 조직의 관리 그룹 목록과 각 관리 그룹의 점수를 볼 수 있습니다.

관리 그룹의 보안 점수 보기

Azure Security Center의 보안 점수 및 보안 제어에 대해 자세히 알아보세요.

보안 점수 API는 GA(일반 공급)를 위해 릴리스되었습니다.

이제 보안 점수 API를 통해 점수에 액세스할 수 있습니다. API 메서드는 데이터를 쿼리할 수 있는 유연성을 제공하고, 시간 경과에 따른 보안 점수에 대한 사용자 고유의 보고 메커니즘을 빌드합니다. 예시:

  • 보안 점수 API를 사용하여 특정 구독에 대한 점수를 가져옵니다.
  • 보안 점수 제어 API를 사용하여 보안 제어 및 구독의 현재 점수를 나열합니다.

GitHub 커뮤니티의 보안 점수 영역에서 보안 점수 API 를 사용하여 가능한 외부 도구에 대해 알아봅니다.

Azure Security Center의 보안 점수 및 보안 제어에 대해 자세히 알아보세요.

App Service용 Azure Defender에 현수 DNS 방지가 추가됨

하위 도메인 인수는 조직에 일반적이고 심각도가 높은 위협입니다. 프로비전 해제된 웹 사이트를 가리키는 DNS 레코드가 있는 경우 하위 기본 인수가 발생할 수 있습니다. 이러한 DNS 레코드는 "현수 DNS" 항목으로도 알려져 있습니다. CNAME 레코드는 특히 이 위협에 취약합니다.

Subdo기본 인수를 사용하면 위협 행위자가 조직의 의도된 트래픽기본 악의적인 활동을 수행하는 사이트로 리디렉션할 수 있습니다.

이제 앱 서비스 웹 사이트가 해제될 때 Azure Defender for App Service가 현수 DNS 항목을 검색합니다. DNS 항목이 존재하지 않는 리소스를 가리키는 순간이며 웹 사이트는 하위 기본 인수에 취약합니다. 이러한 보호는 할 일기본 Azure DNS 또는 외부 do기본 등록 기관으로 관리되는지에 관계없이 사용할 수 있으며 Windows의 App Service와 Linux의 App Service 모두에 적용됩니다.

자세히 보기:

다중 클라우드 커넥터는 GA(일반 공급)용으로 릴리스되었습니다.

클라우드 워크로드가 일반적으로 여러 클라우드 플랫폼에 걸쳐 있는 경우 클라우드 보안 서비스도 동일한 작업을 수행해야 합니다.

Azure Security Center는 Azure, AWS(Amazon Web Services) 및 GCP(Google Cloud Platform)의 워크로드를 보호합니다.

AWS 또는 GCP 프로젝트를 연결하면 AWS Security Hub 및 GCP 보안 명령 센터와 같은 기본 보안 도구를 Azure Security Center에 통합합니다.

이 기능은 Security Center가 모든 주요 클라우드 환경에서 가시성 및 보호를 제공한다는 것을 의미합니다. 이 통합의 이점 중 일부는 다음과 같습니다.

  • 자동 에이전트 프로비저닝 - Security Center는 Azure Arc를 사용하여 AWS 인스턴스에 Log Analytics 에이전트를 배포합니다.
  • 정책 관리
  • 취약점 관리
  • 포함된 EDR(엔드포인트 검색 및 응답)
  • 잘못된 보안 구성 검색
  • 모든 클라우드 공급자의 보안 권장 사항을 보여주는 단일 보기
  • Security Center의 보안 점수 계산에 모든 리소스 통합
  • AWS 및 GCP 리소스에 대한 규정 준수 평가

클라우드용 Defender의 메뉴에서 다중 클라우드 커넥터를 선택하면 새 커넥터를 만드는 옵션이 표시됩니다.

Security Center 다중 클라우드 커넥터 페이지의 AWS 계정 추가 단추

자세한 내용은 다음을 참조하세요.

구독 및 관리 그룹에 대한 보안 점수에서 전체 권장 사항 제외

전체 권장 사항을 포함하도록 예외 기능을 확장하고 있습니다. Security Center에서 구독, 관리 그룹 또는 리소스에 대해 만드는 보안 권장 사항을 세부적으로 조정하는 추가 옵션을 제공합니다.

Security Center가 검색하지 않은 타사 도구에서 문제가 해결되었음을 알고 있으면 리소스가 비정상으로 나열되는 경우가 있습니다. 또는 해당 영역이 아닌 것으로 생각되는 범위에 권장 사항이 표시됩니다. 권장 사항은 특정 구독에 적합하지 않을 수도 있습니다. 또는 조직에서 특정 리소스 또는 권장 사항과 관련된 위험을 수락하기로 결정했습니다.

이 미리 보기 기능을 사용하면 이제 권장 사항에 대한 예외를 만들 수 있습니다.

  • 나중에 비정상 리소스 와 함께 나열되지 않고 보안 점수에 영향을 주지 않도록 리소스를 제외합니다. 리소스가 해당되지 않는 것으로 나열되고 선택한 특정 근거와 함께 이유가 "예외"로 표시됩니다.

  • 권장 사항이 보안 점수에 영향을 주지 않고 향후 구독 또는 관리 그룹에 표시되지 않도록 하려면 구독 또는 관리 그룹을 제외합니다. 이는 기존 리소스와 나중에 만드는 리소스와 관련이 있습니다. 권장 사항은 선택한 범위에 대해 선택한 특정 근거로 표시됩니다.

보안 점수에서 리소스 및 권장 사항 제외에 대해 자세히 알아보세요.

이제 사용자는 전역 관리자에게 테넌트 전체 가시성을 요청할 수 있습니다.

사용자에게 Security Center 데이터를 볼 수 있는 권한이 없는 경우 이제 조직의 전역 관리자에게 권한을 요청하는 링크가 표시됩니다. 요청에는 필요한 역할과 필요한 이유에 대한 정당성이 포함됩니다.

테넌트 전체 권한을 요청할 수 있음을 사용자에게 알리는 배너입니다.

부족한 경우 테넌트 전체 권한 요청에서 자세히 알아봅니다.

Azure 보안 벤치마크의 적용 범위를 늘리기 위해 35개의 미리 보기 추천 사항이 추가됨

Azure Security Benchmark 는 Azure Security Center의 기본 정책 이니셔티브입니다.

이 벤치마크의 적용 범위를 늘리기 위해 다음 35개의 미리 보기 권장 사항이 Security Center에 추가되었습니다.

미리 보기 추천 사항은 리소스를 비정상으로 렌더링하지 않으며 보안 점수 계산에 포함되지 않습니다. 미리 보기 기간이 종료되면 점수에 기여할 수 있도록 가능한 경우 수정합니다. Azure Security Center의 추천 사항 수정에서 이러한 추천 사항에 대응하는 방법에 대해 자세히 알아보세요.

보안 제어 새 권장 사항
미사용 데이터 암호화 사용 - Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다.
- Azure Machine Learning 작업 영역은 CMK(고객 관리형 키)로 암호화해야 합니다.
- MySQL 서버에 대해 사용자 고유의 키 데이터 보호를 사용하도록 설정해야 함
- PostgreSQL 서버에 대해 사용자 고유의 키 데이터 보호를 사용하도록 설정해야 함
- Azure AI 서비스 계정은 CMK(고객 관리형 키)를 사용하여 데이터 암호화를 사용하도록 설정해야 합니다.
- 컨테이너 레지스트리는 CMK(고객 관리형 키)로 암호화해야 함
- SQL Managed Instance는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
- SQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다.
- 스토리지 계정은 암호화에 CMK(고객 관리형 키)를 사용해야 함
보안 모범 사례 구현 - 구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함
- 구독에서 Log Analytics 에이전트의 자동 프로비전을 사용하도록 설정해야 합니다.
- 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정해야 합니다.
- 높은 심각도 경고에 대한 구독 소유자에게 전자 메일 알림을 사용하도록 설정해야 합니다.
- 키 자격 증명 모음에 제거 보호가 사용하도록 설정되어 있어야 합니다.
- 키 자격 증명 모음에 일시 삭제를 사용하도록 설정해야 함
액세스 및 권한 관리 - 함수 앱은 '클라이언트 인증서(들어오는 클라이언트 인증서)'를 사용하도록 설정해야 함
DDoS 공격으로부터 애플리케이션 보호 - Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 합니다.
- WAF(Web Application Firewall)를 Azure Front Door Service 서비스에 사용하도록 설정해야 합니다.
무단 네트워크 액세스 제한 - Key Vault에서 방화벽을 사용하도록 설정해야 함
- Key Vault에 대해 프라이빗 엔드포인트를 구성해야 합니다.
- App Configuration은 프라이빗 링크를 사용해야 함
- Azure Cache for Redis는 가상 네트워크 내에 있어야 합니다.
- Azure Event Grid는 프라이빗 링크를 사용해야 기본
- Azure Event Grid 토픽은 프라이빗 링크를 사용해야 합니다.
- Azure Machine Learning 작업 영역에서 프라이빗 링크를 사용해야 합니다.
- Azure SignalR Service는 프라이빗 링크를 사용해야 합니다.
- Azure Spring Cloud는 네트워크 주입을 사용해야 합니다.
- 컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함
- 컨테이너 레지스트리는 프라이빗 링크를 사용해야 합니다.
- MariaDB 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함
- MySQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함
- PostgreSQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함
- 스토리지 계정은 프라이빗 링크 연결을 사용해야 합니다.
- 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 합니다.
- VM Image Builder 템플릿은 프라이빗 링크를 사용해야 합니다.

관련 링크:

필터링된 권장 사항 목록의 CSV 내보내기

2020년 11월에 권장 사항 페이지에 필터를 추가했습니다(이제 권장 목록에 필터가 포함됨). 12월에 이러한 필터를 확장했습니다(권장 사항 페이지에는 환경, 심각도 및 사용 가능한 응답에 대한 새 필터가 있음).

이 공지 사항을 통해 CSV 내보내기에서 현재 필터링된 목록에 표시된 권장 사항만 포함하도록 CSV로 다운로드 단추의 동작을 변경합니다.

예를 들어 아래 이미지에서 목록이 두 가지 권장 사항으로 필터링된 것을 볼 수 있습니다. 생성된 CSV 파일에는 이러한 두 권장 사항의 영향을 받는 모든 리소스에 대한 상태 세부 정보가 포함됩니다.

필터링된 권장 사항을 CSV 파일로 내보냅니다.

Azure Security Center보안 권장 사항에 대해 자세히 알아보세요.

Azure Policy 평가에서 “해당 없음” 리소스가 이제 “준수”로 보고됨

이전에는 권장 사항에 대해 평가되고 적용할 수 없는 것으로 확인된 리소스가 Azure Policy에 "비준수"로 표시되었습니다. 어떤 사용자 작업도 상태를 "준수"로 변경할 수 없습니다. 이러한 변경으로 명확성을 향상시키기 위해 "준수"로 보고됩니다.

유일한 영향은 준수 리소스 수가 증가하는 Azure Policy에서 볼 수 있습니다. Azure Security Center의 보안 점수에는 영향을 주지 않습니다.

연속 내보내기를 사용하여 보안 점수 및 규정 준수 데이터의 주간 스냅샷 내보내기(미리 보기)

보안 점수 및 규정 준수 데이터의 주간 스냅샷 내보내기 위한 연속 내보내기 도구에 새로운 미리 보기 기능을 추가했습니다.

연속 내보내기를 정의할 때 내보내기 빈도를 설정합니다.

연속 내보내기의 빈도 선택

  • 스트리밍 – 리소스의 상태가 업데이트될 때 평가가 전송됩니다(업데이트가 발생하지 않으면 데이터가 전송되지 않음).
  • 스냅샷 – 모든 규정 준수 평가의 현재 상태 스냅샷 매주 전송됩니다(보안 점수 및 규정 준수 데이터의 주간 스냅샷 미리 보기 기능임).

Security Center 데이터를 지속적으로 내보내기에서 이 기능의 전체 기능에 대해 자세히 알아봅니다.

2020년 12월

12월의 업데이트 다음을 포함합니다.

컴퓨터의 AZURE Defender for SQL 서버는 일반적으로 사용할 수 있습니다.

Azure Security Center는 SQL Server에 대한 두 가지 Azure Defender 플랜을 제공합니다.

  • Azure SQL 데이터베이스 서버 용 Azure Defender - Azure 네이티브 SQL Server 방어
  • 컴퓨터 의 SQL 서버용 Azure Defender - 하이브리드, 다중 클라우드 및 온-프레미스 환경에서 동일한 보호를 SQL 서버로 확장합니다.

이 공지를 통해 Azure Defender for SQL은 이제 데이터베이스와 해당 데이터가 어디에 있든 보호합니다.

AZURE Defender for SQL에는 취약성 평가 기능이 포함되어 있습니다. 취약성 평가 도구에는 다음과 같은 고급 기능이 포함되어 있습니다.

  • 기본 구성(신규!)을 통해 취약성 검색 결과를 실제 보안 문제를 나타낼 수 있는 결과로 지능적으로 구체화할 수 있습니다. 기준 보안 상태를 설정한 후 취약성 평가 도구는 해당 기준 상태의 편차만 보고합니다. 기준과 일치하는 결과는 후속 검색을 통과한 것으로 간주됩니다. 이를 통해 사용자와 분석가는 중요한 부분에 집중할 수 있습니다.
  • 검색된 결과 및 리소스와 관련된 이유를 이해하는 데 도움이 되는 자세한 벤치마크 정보.
  • 식별된 위험을 완화하는 데 도움이 되는 수정 스크립트.

AZURE Defender for SQL에 대해 자세히 알아봅니다.

Azure Synapse Analytics 전용 SQL 풀에 대한 AZURE Defender for SQL 지원은 일반적으로 사용할 수 있습니다.

Azure Synapse Analytics(이전의 SQL DW)는 엔터프라이즈 데이터 웨어하우징과 빅 데이터 분석을 결합한 분석 서비스입니다. 전용 SQL 풀은 Azure Synapse의 엔터프라이즈 데이터 웨어하우징 기능입니다. Azure Synapse Analytics(이전의 SQL DW)란?에서 자세히 알아보세요.

AZURE Defender for SQL은 다음을 사용하여 전용 SQL 풀을 보호합니다.

  • 위협 및 공격을 탐지하는 고급 위협 방지
  • 보안 잘못된 구성을 식별하고 수정하는 취약성 평가 기능

Azure Synapse Analytics SQL 풀에 대한 AZURE Defender for SQL 지원은 Azure Security Center의 Azure SQL 데이터베이스 번들에 자동으로 추가됩니다. Azure Portal의 Synapse 작업 영역 페이지에서 새 "Azure Defender for SQL" 탭을 찾을 수 있습니다.

AZURE Defender for SQL에 대해 자세히 알아봅니다.

전역 관리자는 이제 자신에게 테넌트 수준 권한을 부여할 수 있습니다.

Global 관리istrator의 Azure Active Directory 역할을 가진 사용자는 테넌트 차원의 책임을 맡을 수 있지만 Azure Security Center에서 해당 조직 전체 정보를 볼 수 있는 Azure 권한이 부족합니다.

자신에게 테넌트 수준 권한을 할당하려면 테넌트 전체 사용 권한 부여의 지침을 따릅니다.

두 가지 새로운 Azure Defender 계획: DNS용 Azure Defender 및 Resource Manager용 Azure Defender(미리 보기)

Azure 환경에 대한 두 가지 새로운 클라우드 네이티브 폭 위협 방지 기능을 추가했습니다.

이러한 새로운 보호는 위협 행위자의 공격에 대한 복원력을 크게 향상시키고 Azure Defender로 보호되는 Azure 리소스의 수를 크게 증가시킵니다.

Azure Portal의 새 보안 경고 페이지(미리 보기)

Azure Security Center의 보안 경고 페이지는 다음을 제공하도록 다시 디자인되었습니다.

  • 경고 에 대한 심사 환경 개선 - 경고 피로를 줄이고 가장 관련성이 큰 위협에 더 쉽게 집중할 수 있도록 이 목록에는 사용자 지정 가능한 필터 및 그룹화 옵션이 포함되어 있습니다.
  • 경고 목록 의 추가 정보(예: MITRE ATT&ACK 전술)
  • 샘플 경고를 만드는 단추 - Azure Defender 기능을 평가하고 경고 구성(SIEM 통합, 메일 알림 및 워크플로 자동화용)을 테스트하려면 모든 Azure Defender 계획에서 샘플 경고를 만들 수 있습니다.
  • Azure Sentinel의 인시던트 환경 과 일치 - 두 제품을 모두 사용하는 고객을 위해 두 제품 간 전환은 이제 더 간단한 환경이며 다른 제품에서 쉽게 배울 수 있습니다.
  • 대규모 경고 목록의 성능 개선
  • 경고 목록을 통한 키보드 탐색
  • Azure Resource Graph 의 경고 - 모든 리소스에 대한 Kusto와 유사한 API인 Azure Resource Graph에서 경고를 쿼리할 수 있습니다. 이는 자체 경고 대시보드를 빌드하는 경우에도 유용합니다. Azure Resource Graph에 대한 자세한 정보.

새 환경에 액세스하려면 보안 경고 페이지의 맨 위에 있는 배너에서 '지금 사용해 보기' 링크를 사용합니다.

새 미리 보기 경고 환경에 대한 링크가 있는 배너입니다.

새 경고 환경에서 샘플 경고를 만들려면 샘플 Azure Defender 경고 생성을 참조 하세요.

Azure SQL Database 및 SQL Managed Instance의 다시 활성화된 Security Center 환경

SQL 내의 Security Center 환경에서는 다음 Security Center 및 Azure Defender for SQL 기능에 액세스할 수 있습니다.

  • 보안 권장 사항 – Security Center는 연결된 모든 Azure 리소스의 보안 상태를 주기적으로 분석하여 잠재적인 보안 구성 오류를 식별합니다. 그런 다음 이러한 취약성을 수정하고 조직의 보안 상태를 개선하는 방법에 대한 권장 사항을 제공합니다.
  • 보안 경고 – SQL 삽입, 무차별 암호 대입 공격 및 권한 남용과 같은 위협에 대한 Azure SQL 활동을 지속적으로 모니터링하는 검색 서비스입니다. 이 서비스는 Security Center에서 상세하고 작업 지향적인 보안 경고를 트리거하고 Microsoft의 Azure 네이티브 SIEM 솔루션인 Azure Sentinel을 사용하여 조사를 계속하기 위한 옵션을 제공합니다.
  • 결과 – Azure SQL 구성을 지속적으로 모니터링하고 취약성을 해결하는 데 도움이 되는 취약성 평가 서비스입니다. 평가 검사는 자세한 보안 결과와 함께 Azure SQL 보안 상태의 개요를 제공합니다.

Azure Security Center의 SQL 보안 기능은 Azure SQL 내에서 사용할 수 있습니다.

자산 인벤토리 도구 및 필터 업데이트됨

Azure Security Center의 인벤토리 페이지가 다음과 같이 변경되어 새로 고쳐집니다.

  • 도구 모음에 추가된 가이드 및 피드백 입니다. 그러면 관련 정보 및 도구에 대한 링크가 있는 창이 열립니다.

  • 리소스에 사용할 수 있는 기본 필터에 추가된 구독 필터 입니다.

  • 현재 필터 옵션을 Azure Resource Graph 쿼리(이전의 "리소스 그래프 탐색기에서 보기"라고 함)로 열기 위한 쿼리 링크를 엽니다.

  • 각 필터에 대한 연산자 옵션 입니다. 이제 '=' 이외의 논리 연산자 중에서 선택할 수 있습니다. 예를 들어 타이틀에 'encrypt' 문자열이 포함된 활성 권장 사항이 있는 모든 리소스를 찾을 수 있습니다.

    자산 인벤토리 필터의 운영자 옵션에 대한 컨트롤

자산 인벤토리를 사용하여 리소스 탐색 및 관리의 인벤토리에 대해 자세히 알아봅니다.

SSL 인증서를 요청하는 웹앱에 대한 권장 사항은 더 이상 보안 점수의 일부가 아닙니다.

"웹앱에서 들어오는 모든 요청에 대해 SSL 인증서를 요청해야 함" 권장 사항은 보안 제어 액세스 및 권한 관리(최대 4pts 상당)에서 보안 모범 사례 구현(아무런 가치가 없음)으로 이동되었습니다.

웹앱이 인증서를 요청하도록 하면 확실히 더 안전해집니다. 그러나 공용 웹앱의 경우에는 관련이 없습니다. HTTP를 통해 사이트에 액세스하고 HTTPS를 통해서는 액세스하지 않는 경우 클라이언트 인증서가 제공되지 않습니다. 따라서 애플리케이션에 클라이언트 인증서가 필요한 경우 HTTP를 통한 애플리케이션 요청을 허용해서는 안 됩니다. Azure 앱 Service에 대한 TLS 상호 인증 구성에 대해 자세히 알아봅니다.

이러한 변경으로 권장 사항은 이제 점수에 영향을 주지 않는 권장 모범 사례가 됩니다.

보안 컨트롤의 각 보안 제어에 있는 권장 사항 및 권장 사항을 알아봅니다.

권장 사항 페이지에 환경, 심각도 및 사용 가능한 응답에 대한 새 필터가 있습니다.

Azure Security Center는 연결된 모든 리소스를 모니터링하고 보안 권장 사항을 생성합니다. 이러한 권장 사항을 사용하여 하이브리드 클라우드 상태를 강화하고 조직, 산업 및 국가/지역과 관련된 정책 및 표준 준수를 추적합니다.

Security Center가 범위와 기능을 계속 확장함에 따라 보안 권장 사항 목록이 매월 증가하고 있습니다. 예를 들어 Azure Security Benchmark의 적용 범위를 늘리기 위해 추가된 29개의 미리 보기 권장 사항을 참조하세요.

목록이 늘어나면 가장 관심 있는 항목을 찾기 위해 권장 사항을 필터링해야 합니다. 11월에는 권장 사항 페이지에 필터를 추가했습니다(이제 추천 목록에 필터가 포함됨 참조).

이번 달에 추가된 필터는 다음과 같이 권장 사항 목록을 구체화하는 옵션을 제공합니다.

  • 환경 - AWS, GCP 또는 Azure 리소스(또는 조합)에 대한 권장 사항 보기

  • 심각도 - Security Center에서 설정한 심각도 분류에 따라 권장 사항 보기

  • 응답 작업 - Security Center 응답 옵션의 가용성에 따라 권장 사항 보기: 수정, 거부 및 적용

    응답 작업 필터는 사용 가능한 빠른 수정(예/아니요) 필터를 대체합니다.

    이러한 각 응답 옵션에 대해 자세히 알아봅니다.

권장 사항 보안 제어로 그룹화됩니다.

연속 내보내기는 새 데이터 형식을 가져오고 향상된 deployifnotexist 정책을 가져옵니다.

Azure Security Center의 연속 내보내기 도구를 사용하여 환경의 다른 모니터링 도구와 함께 사용할 Security Center의 권장 사항 및 경고를 내보낼 수 있습니다.

연속 내보내기를 사용하면 내보낼 대상과 위치를 완전히 사용자 지정할 수 있습니다. 자세한 내용은 Security Center 데이터 연속 내보내기를 참조하세요.

이러한 도구는 다음과 같은 방법으로 향상되고 확장되었습니다.

  • 연속 내보내기 deployifnotexist 정책이 향상되었습니다. 이제 정책은 다음과 같습니다.

    • 구성이 사용하도록 설정되어 있는지 확인합니다. 그렇지 않은 경우 정책은 비준수로 표시되고 규격 리소스를 만듭니다. 지속적인 내보내기 설정의 "Azure Policy 탭을 사용하여 대규모 배포"에서 제공된 Azure Policy 템플릿에 대해 자세히 알아봅니다.

    • 보안 결과 내보내기 지원 Azure Policy 템플릿을 사용하는 경우 검색 결과를 포함하도록 연속 내보내기를 구성할 수 있습니다. 이는 취약성 평가 스캐너의 결과 또는 '부모' 권장 사항에 대한 특정 시스템 업데이트와 같이 '하위' 권장 사항이 있는 권장 사항을 내보낼 때 관련이 있습니다.

    • 보안 점수 데이터 내보내기 지원

  • 규정 준수 평가 데이터가 추가되었습니다(미리 보기). 이제 사용자 지정 이니셔티브를 포함하여 규정 준수 평가에 대한 업데이트를 Log Analytics 작업 영역 또는 Event Hub로 지속적으로 내보낼 수 있습니다. 이 기능은 국가적인 클라우드에서 사용할 수 없습니다.

    연속 내보내기 데이터와 함께 규정 준수 평가 정보를 포함하기 위한 옵션

2020년 11월

11월의 업데이트는 다음과 같습니다.

Azure Security Benchmark의 적용 범위를 늘리기 위해 추가된 29개의 미리 보기 권장 사항

Azure Security Benchmark는 일반적인 규정 준수 프레임워크를 기반으로 하는 보안 및 규정 준수 모범 사례에 대한 Microsoft에서 작성한 Azure 관련 지침 집합입니다. Azure Security Benchmark에 대해 자세히 알아봅니다.

이 벤치마크의 적용 범위를 늘리기 위해 Security Center에 다음 29개의 미리 보기 권장 사항이 추가되었습니다.

미리 보기 추천 사항은 리소스를 비정상으로 렌더링하지 않으며 보안 점수 계산에 포함되지 않습니다. 미리 보기 기간이 종료되면 점수에 기여할 수 있도록 가능한 경우 수정합니다. Azure Security Center의 추천 사항 수정에서 이러한 추천 사항에 대응하는 방법에 대해 자세히 알아보세요.

보안 제어 새 권장 사항
전송 중인 데이터 암호화 - PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다.
- MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다.
- TLS를 최신 API 앱 버전으로 업데이트해야 합니다.
- TLS를 함수 앱의 최신 버전으로 업데이트해야 합니다.
- TLS를 웹앱의 최신 버전으로 업데이트해야 합니다.
- API 앱에서 FTPS를 요구해야 합니다.
- 함수 앱에서 FTPS를 요구해야 합니다.
- 웹앱에 FTPS가 필요합니다.
액세스 및 권한 관리 - 웹앱은 들어오는 모든 요청에 대해 SSL 인증서를 요청해야 합니다.
- API 앱에서 관리 ID를 사용해야 합니다.
- 함수 앱에서 관리 ID를 사용해야 합니다.
- 웹앱에서 관리 ID를 사용해야 합니다.
무단 네트워크 액세스 제한 - PostgreSQL 서버에 대해 프라이빗 엔드포인트를 사용하도록 설정해야 함
- MariaDB 서버에 대해 프라이빗 엔드포인트를 사용하도록 설정해야 함
- 프라이빗 엔드포인트를 MySQL 서버에서 사용할 수 있어야 합니다.
감사 및 로깅 사용 - App Services에서 진단 로그를 사용하도록 설정해야 합니다.
보안 모범 사례 구현 - Azure Backup을 가상 머신에 사용하도록 설정해야 합니다.
- Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 함
- Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다.
- Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다.
- PHP를 API 앱의 최신 버전으로 업데이트해야 합니다.
- PHP를 웹앱의 최신 버전으로 업데이트해야 합니다.
- Java를 최신 API 앱 버전으로 업데이트해야 합니다.
- Java를 최신 함수 앱 버전으로 업데이트해야 합니다.
- Java를 웹앱의 최신 버전으로 업데이트해야 합니다.
- Python을 최신 API 앱 버전으로 업데이트해야 합니다.
- Python을 함수 앱의 최신 버전으로 업데이트해야 합니다.
- Python을 최신 웹앱 버전으로 업데이트해야 합니다.
- SQL 서버에 대한 감사 보존 기간을 90일 이상으로 설정해야 합니다.

관련 링크:

Security Center의 규정 준수 대시보드에 NIST SP 800 171 R2가 추가됨

NIST SP 800-171 R2 표준은 이제 Azure Security Center의 규정 준수 대시보드에서 사용하기 위한 기본 제공 이니셔티브로 사용할 수 있습니다. 제어에 대한 매핑은 NIST SP 800-171 R2 규정 준수 기본 제공 이니셔티브의 세부 정보에 설명되어 있습니다.

표준을 구독에 적용하고 규정 준수 상태를 지속적으로 모니터링하려면 규정 준수 대시보드의 표준 집합 사용자 지정의 지침을 사용합니다.

Security Center 규정 준수 대시보드의 NIST SP 800 171 R2 표준

이 규정 준수 표준에 대한 자세한 내용은 NIST SP 800-171 R2를 참조하세요.

이제 권장 사항 목록에 필터가 포함됩니다.

이제 일련의 조건에 따라 보안 추천 목록을 필터링할 수 있습니다. 다음 예제에서는 권장 사항 목록을 필터링하여 다음과 같은 권장 사항을 표시합니다.

  • 는 일반적으로 사용할 수 있습니다(즉, 미리 보기 아님).
  • 는 스토리지 계정용 입니다.
  • 빠른 수정 지원

권장 사항 목록에 대한 필터입니다.

자동 프로비전 환경 개선 및 확장

자동 프로비전 기능은 Security Center의 보호를 활용할 수 있도록 필요한 확장을 신규 및 기존 Azure VM에 설치하여 관리 오버헤드를 줄이는 데 도움이 됩니다.

Azure Security Center가 증가함에 따라 더 많은 확장이 개발되었으며 Security Center는 더 큰 리소스 종류 목록을 모니터링할 수 있습니다. 이제 Azure Policy의 기능을 활용하여 다른 확장 및 리소스 유형을 지원하도록 자동 프로비전 도구가 확장되었습니다.

이제 다음의 자동 프로비전을 구성할 수 있습니다.

  • Log Analytics 에이전트
  • (신규) Kubernetes용 Azure Policy
  • (신규) Microsoft Dependency Agent

Azure Security Center에이전트 및 확장 자동 프로비전에 대해 자세히 알아봅니다.

보안 점수는 이제 연속 내보내기(미리 보기)에서 사용할 수 있습니다.

보안 점수의 연속 내보내기를 사용하면 실시간으로 점수 변경 내용을 Azure Event Hubs 또는 Log Analytics 작업 영역으로 스트리밍할 수 있습니다. 이 기능을 사용하여 다음을 수행합니다.

  • 동적 보고서로 시간 경과에 따른 보안 점수 추적
  • Azure Sentinel(또는 다른 SIEM)으로 보안 점수 데이터 내보내기
  • 이 데이터를 조직에서 보안 점수를 모니터링하는 데 이미 사용하고 있을 수 있는 프로세스와 통합

Security Center 데이터를 지속적으로 내보내는 방법에 대해 자세히 알아봅니다.

"시스템 업데이트가 컴퓨터에 설치되어 있어야 합니다." 권장 사항이 이제 하위 권장 사항을 포함합니다.

시스템 업데이트는 컴퓨터 권장 사항에 설치해야 합니다. 새 버전에는 누락된 각 업데이트에 대한 하위 커밋이 포함되어 있으며 다음과 같은 향상된 기능이 제공됩니다.

  • Azure Portal의 Azure Security Center 페이지에서 새롭게 디자인된 환경입니다. 시스템 업데이트는 머신에 설치되어야 합니다에 대한 권장 사항 세부 정보 페이지에는 아래와 같은 결과 목록이 포함되어 있습니다. 단일 찾기를 선택하면 수정 정보에 대한 링크와 영향을 받는 리소스 목록이 포함된 세부 정보 창이 열립니다.

    업데이트된 권장 사항에 대한 포털 환경에서 하위 커밋 중 하나를 엽니다.

  • ARG(Azure Resource Graph)의 권장 사항에 대한 보강된 데이터입니다. ARG는 효율적인 리소스 탐색을 제공하도록 설계된 Azure 서비스입니다. ARG를 사용하여 사용자 환경을 효과적으로 관리할 수 있도록 지정된 구독 세트에서 대규모로 쿼리할 수 있습니다.

    Azure Security Center의 경우 ARG 및 KQL(Kusto 쿼리 언어)을 사용하여 광범위한 보안 상태 데이터를 쿼리할 수 있습니다.

    이전에는 ARG에서 이 권장 사항을 쿼리한 경우 권장 사항을 머신에서 수정해야 한다는 정보만 제공되었습니다. 향상된 버전의 다음 쿼리는 누락된 각 시스템 업데이트를 머신별로 그룹화하여 반환합니다.

    securityresources
| where type =~ "microsoft.security/assessments/subassessments"
| where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
| where properties.status.code == "Unhealthy"

이제 Azure Portal의 정책 관리 페이지에 기본 정책 할당의 상태 표시됩니다.

이제 Azure Portal의 Security Center 보안 정책 페이지에서 구독에 기본 Security Center 정책이 할당되었는지 여부를 확인할 수 있습니다.

기본 정책 할당을 보여 주는 Azure Security Center의 정책 관리 페이지입니다.

2020년 10월

10월의 업데이트 다음을 포함합니다.

온-프레미스 및 다중 클라우드 머신의 취약성 평가(미리 보기)

서버용 Azure Defender의 통합 취약성 평가 스캐너(Qualys 기반)는 이제 Azure Arc 사용 서버를 검색합니다.

비 Azure 머신에서 Azure Arc를 사용하도록 설정한 경우 Security Center는 통합 취약성 스캐너를 수동으로 대규모로 배포할 수 있습니다.

이번 업데이트를 통해 모든 Azure 및 비-Azure 자산의 취약성 관리 프로그램을 통합하는 서버용 Azure Defender의 강력한 성능을 발휘할 수 있습니다.

주요 기능:

  • Azure Arc 머신의 VA(취약성 평가) 스캐너 프로비저닝 상태 모니터링
  • 보호되지 않는 Windows 및 Linux Azure Arc 머신에 통합 VA 에이전트 프로비전(수동 및 대규모)
  • 배포된 에이전트에서 탐지된 취약성 수신 및 분석(수동 및 대규모로)
  • Azure VM 및 Azure Arc 머신에 대한 통합 환경

하이브리드 컴퓨터에 통합 Qualys 취약성 스캐너 배포에 대해 자세히 알아보세요.

Azure Arc 지원 서버에 대해 자세히 알아보세요.

Azure Firewall 권장 사항 추가(미리 보기)

Azure Firewall을 사용하여 모든 가상 네트워크를 보호하기 위한 새로운 권장 사항이 추가되었습니다.

가상 네트워크는 Azure Firewall로 보호해야 합니다 권장 사항은 Azure Firewall을 사용하여 가상 네트워크에 대한 액세스를 제한하고 잠재적 위협을 차단할 것을 조언합니다.

Azure Firewall에 대해 자세히 알아봅니다.

인증된 IP 범위는 빠른 수정으로 업데이트된 Kubernetes Services 권장 사항에 정의되어야 합니다.

Kubernetes Services에서 권장 권한 있는 IP 범위를 정의해야 합니다. 이제 빠른 수정 옵션이 제공됩니다.

이 권장 사항 및 기타 모든 Security Center 권장 사항에 대한 자세한 내용은 보안 권장 사항 - 참조 가이드를 참조하세요.

빠른 픽스 옵션을 제공하는 [Kubernetes 서비스에서 권한 있는 IP 범위를 정의해야 함] 권장 사항

이제 규정 준수 대시보드에 표준을 제거하는 옵션이 포함되어 있습니다.

Security Center의 규정 준수 대시보드는 특정 규정 준수 제어 및 요구 사항을 충족하는 방법에 따라 규정 준수 상태에 대한 인사이트를 제공합니다.

대시보드에는 기본 규정 표준 집합이 포함되어 있습니다. 제공된 표준이 조직과 관련이 없는 경우 이제 구독에 대한 UI에서 이를 제거하는 간단한 프로세스입니다. 표준은 관리 그룹 범위가 아니라 구독 수준에서만 제거할 수 있습니다.

대시보드에서 표준 제거에 대해 자세히 알아보세요.

ARG(Azure Resource Graph)에서 Microsoft.Security/securityStatuses 테이블이 제거됨

Azure Resource Graph는 환경을 효과적으로 제어할 수 있도록 지정된 구독 집합에서 대규모로 쿼리할 수 있는 기능을 통해 효율적인 리소스 탐색을 제공하도록 설계된 Azure의 서비스입니다.

Azure Security Center의 경우 ARG 및 KQL(Kusto 쿼리 언어)을 사용하여 광범위한 보안 상태 데이터를 쿼리할 수 있습니다. 예시:

ARG 내에는 쿼리에서 사용할 수 있는 데이터 테이블이 있습니다.

Azure Resource Graph Explorer 및 사용 가능한 테이블.

ARG 설명서에는 Azure Resource Graph 테이블 및 리소스 종류 참조에서 사용 가능한 모든 테이블이 나열되어 있습니다.

이 업데이트 에서 Microsoft.Security/securityStatuses 테이블이 제거되었습니다. securityStatuses API는 여전히 사용할 수 있습니다.

Microsoft.Security/Assessments 테이블에서 데이터 대체를 사용할 수 있습니다.

Microsoft.Security/securityStatuses와 Microsoft.Security/Assessments의 주요 차이점은 첫 번째 평가 집계가 표시되지만 초는 각각에 대해 단일 레코드를 보유한다는 것입니다.

예를 들어 Microsoft.Security/securityStatuses는 다음 두 policyAssessments 배열을 사용하여 결과를 반환합니다.

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

반면 Microsoft.Security/Assessments는 다음과 같이 각 정책 평가에 대한 레코드를 보유합니다.

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

securityStatuses를 사용하여 기존 ARG 쿼리를 변환하여 평가 테이블을 사용하는 예제:

SecurityStatuses를 참조하는 쿼리:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

평가 테이블에 대한 대체 쿼리:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

다음 링크에서 자세히 알아보세요.

2020년 9월

9월의 업데이트 다음과 같습니다.

Security Center가 새로운 모습으로 바뀌었습니다.

Security Center의 포털 페이지에 대해 새로 고친 UI를 릴리스했습니다. 새 페이지에는 보안 점수, 자산 인벤토리 및 Azure Defender에 대한 새 개요 페이지와 대시보드가 포함됩니다.

이제 다시 디자인된 개요 페이지에 보안 점수, 자산 인벤토리 및 Azure Defender 대시보드에 액세스하기 위한 타일이 있습니다. 또한 규정 준수 대시보드에 연결되는 타일이 있습니다.

개요 페이지에 대해 자세히 알아봅니다.

Azure Defender 릴리스됨

Azure Defender는 Security Center 내부에 통합되어 Azure 및 하이브리드 워크로드에 대한 고급 인텔리전트 보호를 제공하는 CWPP(클라우드 워크로드 보호 플랫폼)입니다. Security Center의 표준 가격 책정 계층 옵션을 대체합니다.

Azure Security Center의 가격 책정 및 설정 영역에서 Azure Defender를 사용하도록 설정하면 다음 Defender 플랜이 동시에 사용되어 환경의 컴퓨팅, 데이터 및 서비스 계층에 대한 포괄적인 방어 기능을 제공합니다.

각 플랜은 Security Center 설명서에 별도로 설명되어 있습니다.

Azure Defender는 전용 대시보드를 사용하여 가상 머신, SQL 데이터베이스, 컨테이너, 웹 애플리케이션, 네트워크 등에 대한 보안 경고 및 고급 위협 방지 기능을 제공합니다.

Azure Defender에 대해 자세히 알아보기

Azure Defender for Key Vault는 일반적으로 사용할 수 있습니다.

Azure Key Vault는 암호화 키와 비밀(예: 인증서, 연결 문자열 및 암호)을 보호하는 클라우드 서비스입니다.

Azure Defender for Key Vault는 Azure Key Vault 에 대한 Azure 네이티브 고급 위협 방지를 제공하여 추가 보안 인텔리전스 계층을 제공합니다. 확장적으로 Key Vault용 Azure Defender는 결과적으로 Key Vault 계정에 종속된 많은 리소스를 보호합니다.

선택적 계획은 이제 GA입니다. 이 기능은 "Azure Key Vault에 대한 고급 위협 방지"로 미리 보기로 제공됩니다.

또한 Azure Portal의 Key Vault 페이지에는 Security Center 권장 사항 및 경고에 대한 전용 보안 페이지가 포함됩니다.

Key Vault용 Azure Defender에서 자세히 알아보세요.

파일 및 ADLS Gen2에 대한 Azure Defender for Storage 보호는 일반적으로 사용할 수 있습니다.

Storage용 Azure Defender는 Azure Storage 계정에서 잠재적으로 유해한 활동을 탐지합니다. Blob 컨테이너, 파일 공유 또는 데이터 레이크로 저장되든 데이터를 보호할 수 있습니다.

이제 Azure FilesAzure Data Lake Storage Gen2에 대한 지원이 일반 공급됩니다.

2020년 10월 1일부터 이러한 서비스에 대한 리소스 보호에 대한 요금을 청구하기 시작합니다.

스토리지용 Azure Defender에서 자세히 알아봅니다.

이제 자산 인벤토리 도구를 일반 공급

Azure Security Center의 자산 인벤토리 페이지는 Security Center에 연결한 리소스의 보안 상태를 보기 위한 단일 페이지를 제공합니다.

Security Center는 Azure 리소스의 보안 상태를 주기적으로 분석하여 잠재적인 보안 취약성을 식별합니다. 그런 다음, 이러한 취약성을 수정하는 방법에 대한 추천 사항을 제공합니다.

리소스에 수정되지 않은 추천 사항이 있으면 인벤토리에 표시됩니다.

자산 인벤토리를 사용하여 리소스 탐색 및 관리에 대해 자세히 알아보세요.

컨테이너 레지스트리 및 가상 머신의 검색에 대한 특정 취약성 찾기 사용 안 함

Azure Defender에는 Azure Container Registry 및 가상 머신의 이미지를 검사하는 취약성 스캐너가 포함되어 있습니다.

조직에서 결과를 수정하지 않고 무시해야 하는 요구 사항이 있으면 필요에 따라 이 결과를 사용하지 않도록 설정할 수 있습니다. 사용하지 않도록 설정된 결과는 보안 점수에 영향을 주거나 원치 않는 노이즈를 생성하지 않습니다.

결과가 사용 안 함 규칙에 정의한 조건과 일치하면 검색 결과 목록에 표시되지 않습니다.

이 옵션은 다음의 권장 사항 세부 정보 페이지에서 사용할 수 있습니다.

  • Azure Container Registry 이미지의 취약성을 수정해야 합니다.
  • 가상 머신의 취약성을 수정해야 함

컨테이너 이미지에 대한 특정 결과를 사용하지 않도록 설정하고 가상 머신에 대한 특정 결과를 사용하지 않도록 설정하는 방법에 대해 자세히 알아보세요.

권장 사항에서 리소스 제외

경우에 따라 리소스가 특정 권장 사항(따라서 보안 점수 낮추기)과 관련하여 비정상으로 나열됩니다. Security Center에서 추적하지 않는 프로세스에 의해 수정되었을 수 있습니다. 또는 조직에서 해당 특정 리소스에 대한 위험을 수락하기로 결정했습니다.

이러한 경우 예외 규칙을 만들고 나중에 비정상 리소스 사이에 리소스가 나열되지 않도록 할 수 있습니다. 이러한 규칙에는 아래에서 설명한 대로 문서화된 근거가 포함될 수 있습니다.

권장 사항 및 보안 점수에서 리소스 제외에 대해 자세히 알아보세요.

Security Center의 AWS 및 GCP 커넥터에서 다중 클라우드 환경을 제공함

클라우드 워크로드가 일반적으로 여러 클라우드 플랫폼에 걸쳐 있는 경우 클라우드 보안 서비스도 동일한 작업을 수행해야 합니다.

Azure Security Center는 이제 Azure, AWS(Amazon Web Services) 및 GCP(Google Cloud Platform)에서 워크로드를 보호합니다.

AWS 및 GCP 프로젝트를 Security Center에 온보딩하면 AWS Security Hub, GCP Security Command 및 Azure Security Center가 통합됩니다.

Azure Security Center에 AWS 계정 연결Azure Security Center에 GCP 프로젝트 연결에서 자세히 알아보세요.

Kubernetes 워크로드 보호 권장 사항 번들

Kubernetes 워크로드가 기본적으로 안전한지 확인하기 위해 Security Center는 Kubernetes 허용 제어를 사용하는 적용 옵션을 포함하여 Kubernetes 수준 강화 권장 사항을 추가하고 있습니다.

AKS 클러스터에 Kubernetes용 Azure Policy를 설치한 경우 Kubernetes API 서버에 대한 모든 요청은 클러스터에 유지되기 전에 미리 정의된 모범 사례 집합에 대해 모니터링됩니다. 그런 다음, 모범 사례를 적용하고 향후 워크로드에 대해 위임하도록 구성할 수 있습니다.

예를 들어 권한 있는 컨테이너를 만들지 않도록 위임할 수 있습니다. 그러면, 이러한 작업에 대한 이후의 모든 요청이 차단됩니다.

Kubernetes 허용 제어를 사용하는 워크로드 보호 모범 사례에 대해 자세히 알아보세요.

이제 취약성 평가 결과를 연속 내보내기에서 사용할 수 있음

연속 내보내기를 사용하여 경고 및 권장 사항을 Azure Event Hubs, Log Analytics 작업 영역 또는 Azure Monitor로 스트리밍합니다. 여기에서 이 데이터를 SIEM(예: Azure Sentinel, Power BI, Azure Data Explorer 등)과 통합할 수 있습니다.

Security Center의 통합 취약성 평가 도구는 "가상 머신의 취약성을 수정해야 함"과 같은 '부모' 추천 사항 내에서 리소스에 대한 결과를 실행 가능한 추천 사항으로 반환합니다.

이제 추천 사항을 선택하고 보안 결과 포함 옵션을 사용하도록 설정하면 연속 내보내기를 통해 보안 결과를 내보낼 수 있습니다.

연속 내보내기 구성의 보안 결과 포함 설정/해제

관련 페이지:

새 리소스를 만들 때 추천 사항을 적용하여 보안 구성 오류 방지

보안 구성 오류는 보안 인시던트의 주요 원인입니다. 이제 Security Center는 특정 권장 사항과 관련하여 새 리소스의 잘못된 구성을 방지하는 기능을 제공합니다.

이 기능을 통해 워크로드를 안전하게 유지하고 보안 점수를 안정화할 수 있습니다.

다음 두 가지 모드에서 특정 권장 사항에 따라 보안 구성을 적용할 수 있습니다.

  • Azure Policy의 거부 효과를 사용하여 비정상 리소스가 만들어지는 것을 중지할 수 있습니다.

  • 적용 옵션을 사용하면 Azure Policy의 DeployIfNotExist 효과를 활용하고 생성 시 비준수 리소스를 자동으로 수정할 수 있습니다.

이는 선택한 보안 권장 사항에 사용할 수 있으며 리소스 세부 정보 페이지의 맨 위에서 찾을 수 있습니다.

적용/거부 추천 사항을 사용하여 구성 오류 방지에서 자세히 알아보세요.

향상된 네트워크 보안 그룹 권장 사항

일부 가양성 인스턴스를 줄이기 위해 네트워크 보안 그룹과 관련된 다음과 같은 보안 권장 사항이 개선되었습니다.

  • VM에 연결된 NSG에서 모든 네트워크 포트를 제한해야 합니다.
  • 가상 머신에서 관리 포트를 닫아야 합니다.
  • 인터넷 연결 가상 머신은 네트워크 보안 그룹과 함께 보호되어야 합니다.
  • 서브넷을 네트워크 보안 그룹과 연결해야 합니다.

사용되지 않는 미리 보기 AKS 권장 사항 "Kubernetes Services에서 Pod 보안 정책을 정의해야 함"

Azure Kubernetes Service 설명서에 설명된 대로 미리 보기 권장 사항 "Pod 보안 정책을 Kubernetes Services정의해야 함"은 더 이상 사용되지 않습니다.

Pod 보안 정책(미리 보기) 기능은 더 이상 사용하지 않도록 설정되며, AKS에 대한 Azure Policy에 따라 2020년 10월 15일 이후에는 더 이상 사용할 수 없습니다.

Pod 보안 정책(미리 보기)이 더 이상 사용되지 않는 경우 향후 클러스터 업그레이드를 수행하고 Azure 지원을 유지하려면 더 이상 사용되지 않는 기능을 사용하여 기존 클러스터에서 이 기능을 사용하지 않도록 설정해야 합니다.

Azure Security Center의 이메일 알림이 향상됨

보안 경고와 관련된 이메일의 다음 영역이 개선되었습니다.

  • 모든 심각도 수준에 대한 경고에 대한 메일 알림 보낼 수 있는 기능이 추가되었습니다.
  • 구독에서 다른 Azure 역할을 가진 사용자에게 알릴 수 있는 기능이 추가되었습니다.
  • 심각도가 높은 경고(진짜 위반일 가능성이 높음)는 기본적으로 구독 소유자에게 사전에 알려줍니다.
  • 이메일 알림 구성 페이지에서 전화 번호 필드가 제거되었습니다.

보안 경고에 대한 메일 알림 설정에서 자세히 알아보세요.

보안 점수에는 미리 보기 권장 사항이 포함되지 않습니다.

Security Center는 리소스, 구독 및 조직의 보안 이슈를 지속적으로 평가합니다. 그런 다음, 현재 보안 상황을 한눈에 파악할 수 있도록 모든 결과를 단일 점수에 집계합니다. 즉, 점수가 높을수록 식별된 위험 수준은 낮습니다.

새 위협이 발견되면 Security Center에서 새 추천 사항을 통해 새로운 보안 제안이 제공됩니다. 보안 점수가 깜짝 변경되는 것을 방지하고 점수에 영향을 주기 전에 새 권장 사항을 탐색할 수 있는 유예 기간을 제공하기 위해 미리 보기플래그가 지정된 권장 사항은 더 이상 보안 점수 계산에 포함되지 않습니다. 미리 보기 기간이 종료되면 점수에 기여할 수 있도록 가능한 경우 언제든지 수정해야 합니다.

또한 미리 보기 권장 사항은 리소스 "비정상"을 렌더링하지 않습니다.

미리 보기 권장 사항의 예:

미리 보기 플래그가 있는 권장 사항

보안 점수에 대해 자세히 알아봅니다.

이제 추천 사항에 심각도 표시기 및 새로 고침 간격이 포함됨

권장 사항에 대한 세부 정보 페이지에는 이제 새로 고침 간격 표시기(관련되는 경우)와 권장 사항의 심각도를 명확하게 표시합니다.

새고 고침 및 심각도를 보여 주는 추천 사항 페이지

2020년 8월

8월의 업데이트는 다음과 같습니다.

더 강력해진 기능을 활용하여 자산의 보안 상태를 보여주는 자산 인벤토리

Security Center의 자산 인벤토리(현재 미리 보기 상태)는 Security Center에 연결한 리소스의 보안 상태를 확인할 수 있는 방법을 제공합니다.

Security Center는 Azure 리소스의 보안 상태를 주기적으로 분석하여 잠재적인 보안 취약성을 식별합니다. 그런 다음, 이러한 취약성을 수정하는 방법에 대한 추천 사항을 제공합니다. 리소스에 수정되지 않은 추천 사항이 있으면 인벤토리에 표시됩니다.

보기 및 해당 필터를 사용하여 보안 상태 데이터를 검색하고 결과에 따라 추가 작업을 수행할 수 있습니다.

자산 인벤토리에 대해 자세히 알아봅니다.

Azure Active Directory 보안 기본값에 대한 지원(다단계 인증용)이 추가됨

Security Center에는 Microsoft의 무료 ID 보안 보호인 보안 기본값에 대한 완전한 지원이 추가되었습니다.

보안 기본값은 일반적인 ID 관련 공격으로부터 조직을 보호하기 위해 미리 구성된 ID 보안 설정을 제공합니다. 보안 기본값은 이미 전체 5백만 개 이상의 테넌트 보호입니다. 50,000개의 테넌트도 Security Center로 보호됩니다.

Security Center는 이제 보안 기본값을 사용하지 않고 Azure 구독을 식별할 때마다 보안 권장 사항을 제공합니다. 지금까지 Security Center는 AD(Azure Active Directory) Premium 라이선스의 일부인 조건부 액세스를 사용하는 다단계 인증을 사용하도록 추천했습니다. Azure AD를 무료로 사용하는 고객의 경우 이제 보안 기본값을 사용하도록 설정하는 것이 좋습니다.

Microsoft의 목표는 더 많은 고객이 MFA를 사용하여 클라우드 환경을 보호하도록 권장하고, 보안 점수에 가장 큰 영향을 미치는 가장 높은 위험 중 하나를 완화하는 것입니다.

보안 기본값에 대해 자세히 알아봅니다.

서비스 주체 권장 사항이 추가됨

관리 인증서를 사용하여 구독을 관리하는 Security Center 고객이 서비스 주체로 전환하는 것이 좋습니다.

권장 사항인 서비스 주체는 관리 인증서 대신 구독을 보호하는 데 사용되어야 하며 , 서비스 주체 또는 Azure Resource Manager를 사용하여 구독을 보다 안전하게 관리하도록 권고합니다.

Azure Active Directory의 애플리케이션 및 서비스 주체 개체에 대해 자세히 알아보세요.

VM에 대한 취약성 평가 - 추천 사항과 정책이 통합됨

Security Center는 VM을 검사하여 취약성 평가 솔루션을 실행하고 있는지 여부를 검색합니다. 취약성 평가 솔루션을 찾을 수 없는 경우 Security Center는 배포를 간소화하기 위한 권장 사항을 제공합니다.

취약성이 발견되면 Security Center는 필요에 따라 조사 및 수정할 수 있는 결과를 요약한 권장 사항을 제공합니다.

사용하는 스캐너 유형에 관계없이 모든 사용자에게 일관된 환경을 보장하기 위해 4가지 추천 사항이 다음 2가지 추천 사항으로 통합되었습니다.

통합 권장 사항 변경 내용 설명
취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 다음 두 가지 추천 사항을 대체합니다.
가상 머신에서 기본 제공 취약성 평가 솔루션 사용(Qualys(현재 사용되지 않음)(표준 계층에 포함)
취약성 평가 솔루션은 가상 머신에 설치해야 합니다(현재 사용되지 않음)(표준 및 무료 계층)
가상 머신의 취약성을 수정해야 함 다음 두 가지 추천 사항을 대체합니다.
가상 머신에서 발견된 취약성 수정(Qualys에서 구동) (현재 사용되지 않음)
취약성 평가 솔루션(현재는 사용되지 않음)을 통해 취약성을 수정해야 합니다.

이제 동일한 권장 사항을 사용하여 Qualys 또는 Rapid 7과 같은 파트너로부터 Security Center의 취약성 평가 확장 또는 프라이빗 라이선스 솔루션("BYOL")을 배포합니다.

또한 취약성이 발견되어 Security Center에 보고되면 단일 권장 사항은 취약성 평가 솔루션을 식별한 것과 관계없이 결과를 경고합니다.

종속성 업데이트

이전 권장 사항 또는 정책 키/이름을 참조하는 스크립트, 쿼리 또는 자동화가 있는 경우 아래 표를 사용하여 참조를 업데이트합니다.

2020년 8월 이전
추천 범위
가상 머신에서 기본 제공 취약성 평가 솔루션 사용(Qualys 기반)
키: 550e890b-e652-4d22-8274-60b3bdb24c63		 기본 제공
가상 머신에서 발견한 취약성 수정(Qualys 제공)
키: 1195afff-c881-495e-9bc5-1486211ae03f		 기본 제공
가상 머신에 취약성 평가 솔루션을 설치해야 함
키: 01b1ed4c-b733-4fee-b145-f23236e70cf3		 BYOL
취약성 평가 솔루션에서 취약성을 수정해야 합니다.
키: 71992a2a-d168-42e0-b10e-6b45fa2ecddb		 BYOL
정책 범위
가상 머신에서 취약성 평가를 사용하도록 설정해야 함
정책 ID: 501541f7-f7e7-4cd6-868c-4190fdad3ac9		 기본 제공
취약성 평가 솔루션으로 취약성을 수정해야 함
정책 ID: 760a85ff-6162-42b3-8d70-698e268f648c		 BYOL
2020년 8월부터
추천 범위
취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함
키: ffff0522-1e88-47fc-8382-2a80ba848f5d		 기본 제공 + BYOL
가상 머신의 취약성을 수정해야 함
키: 1195afff-c881-495e-9bc5-1486211ae03f		 기본 제공 + BYOL
정책 범위
가상 머신에서 취약성 평가를 사용하도록 설정해야 함
정책 ID: 501541f7-f7e7-4cd6-868c-4190fdad3ac9		 기본 제공 + BYOL

ASC_default 이니셔티브에 새 AKS 보안 정책이 추가됨(프라이빗 미리 보기 고객에게만 해당)

Kubernetes 워크로드에서 기본적으로 보안을 유지할 수 있도록 하기 위해 Security Center에서 Kubernetes 허용 제어를 사용하는 적용 옵션을 포함하여 Kubernetes 수준 정책 보안 강화 추천 사항을 추가합니다.

이 프로젝트의 초기 단계에는 프라이빗 미리 보기 및 ASC_default 이니셔티브에 추가된 새 정책(기본적으로 사용 안 함)이 포함됩니다.

이러한 정책은 무시해도 되지만 환경에는 영향을 주지 않습니다. 이러한 정책을 사용하도록 설정하려면 Microsoft Cloud Security Private Community를 통해 미리 보기에 등록하고 다음 옵션 중에서 선택합니다.

  1. 단일 미리 보기 – 이 프라이빗 미리 보기에만 조인합니다. 조인하려는 미리 보기로 "ASC 연속 검사"를 명시적으로 멘션.
  2. 진행 중인 프로그램 – 이 미리 보기 및 향후 비공개 미리 보기에 추가됩니다. 프로필 및 개인 정보 계약을 완료해야 합니다.

2020년 7월

7월의 업데이트 다음을 포함합니다.

이제 비 Marketplace 이미지에 가상 머신에 대한 취약성 평가 사용 가능

취약성 평가 솔루션을 배포한 경우 Security Center는 이전에 배포 전에 유효성 검사 검사 수행했습니다. 검사 대상 가상 머신의 마켓플레이스 SKU를 확인하는 것이었습니다.

이 업데이트에서 검사 제거되고 이제 취약성 평가 도구를 '사용자 지정' Windows 및 Linux 머신에 배포할 수 있습니다. 사용자 지정 이미지는 마켓플레이스 기본값에서 수정한 이미지입니다.

이제 더 많은 컴퓨터에 통합 취약성 평가 확장(Qualys로 구동)을 배포할 수 있지만 통합 취약성 검사기를 표준 계층 VM에 배포에 나열된 OS를 사용하는 경우에만 지원을 사용할 수 있습니다.

가상 머신에 대한 통합 취약성 스캐너(Azure Defender 필요)에 대해 자세히 알아봅니다.

파트너 취약성 검사 솔루션 배포에서 Qualys 또는 Rapid7 에서 프라이빗 라이선스 취약성 평가 솔루션을 사용하는 방법에 대해 자세히 알아봅니다.

Azure Files 및 Azure Data Lake Storage Gen2(미리 보기)를 포함하도록 Azure Storage에 대한 위협 방지가 확장됨

Azure Storage에 대한 위협 방지는 Azure Storage 계정에서 잠재적으로 유해한 활동을 탐지합니다. Security Center는 스토리지 계정에 액세스하거나 악용하려는 시도를 감지할 때 경고를 표시합니다.

Blob 컨테이너, 파일 공유 또는 데이터 레이크로 저장되든 데이터를 보호할 수 있습니다.

위협 방지 기능을 사용하도록 설정하는 8가지 새로운 권장 사항

가상 머신, App Service 계획, Azure SQL Database 서버, 머신의 SQL 서버, Azure Storage 계정, Azure Kubernetes Service 클러스터, Azure Container Registry 레지스트리 및 Azure Key Vault 자격 증명 모음과 같은 리소스 종류에 대해 Azure Security Center의 위협 방지 기능을 사용하도록 설정하는 간단한 방법을 제공하기 위해 8개의 새로운 권장 사항이 추가되었습니다.

새 추천 사항은 다음과 같습니다.

  • Azure SQL Database 서버에서 Advanced Data Security를 사용하도록 설정해야 함
  • 머신의 SQL 서버에서 Advanced Data Security를 사용하도록 설정해야 함
  • Azure 앱 Service 계획에서 고급 위협 방지를 사용하도록 설정해야 함
  • Azure Container Registry 레지스트리에서 고급 위협 방지를 사용하도록 설정해야 합니다.
  • Azure Key Vault 자격 증명 모음에서 고급 위협 방지를 사용하도록 설정해야 함
  • Azure Kubernetes Service 클러스터에서 고급 위협 방지를 사용하도록 설정해야 함
  • Azure Storage 계정에서 고급 위협 방지를 사용하도록 설정해야 함
  • 가상 머신에서 고급 위협 방지를 사용하도록 설정해야 함

이러한 새 추천 사항은 Azure Defender 사용 보안 제어에 속합니다.

추천 사항에는 빠른 수정 기능도 포함됩니다.

Important

이러한 추천 사항 중 하나를 수정하면 관련 리소스를 보호하는 데 드는 요금이 청구됩니다. 이러한 요금은 현재 구독에 관련 리소스가 있는 경우 즉시 시작됩니다. 또는 나중에 추가하는 경우가 있습니다.

예를 들어 구독에 Azure Kubernetes Service 클러스터가 없고 위협 방지를 사용하도록 설정한 경우 요금이 부과되지 않습니다. 나중에 동일한 구독에 클러스터를 추가하면 클러스터가 자동으로 보호되고 요금이 해당 시점에 시작됩니다.

보안 권장 사항 참조 페이지에서 이들 각각에 대해 자세히 알아봅니다.

Azure Security Center의 위협 방지에 대해 자세히 알아봅니다.

컨테이너 보안 개선 사항 - 더 빨라진 레지스트리 검사 및 새로워진 설명서

컨테이너 보안에 대한 지속적인 투자의 일환으로기본 Azure Container Registry에 저장된 컨테이너 이미지에 대한 Security Center의 동적 검색에서 상당한 성능 향상을 공유하게 되어 기쁩니다. 이제 검사는 일반적으로 약 2분 후에 완료됩니다. 경우에 따라 최대 15분이 걸릴 수 있습니다.

Azure Security Center의 컨테이너 보안 기능에 대한 명확성과 지침을 개선하기 위해 컨테이너 보안 설명서 페이지도 새로 고쳐 보았습니다.

다음 문서에서 Security Center의 컨테이너 보안에 대해 자세히 알아보세요.

적응형 애플리케이션 제어가 새 추천 사항 및 경로 규칙의 와일드카드 지원으로 업데이트됨

적응형 애플리케이션 제어 기능에는 다음과 같은 두 가지 중요한 업데이트가 제공되었습니다.

  • 새 권장 사항은 이전에 허용되지 않은 잠재적으로 합법적인 동작을 식별합니다. 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 합니다.라는 새 추천 사항은 적응형 애플리케이션 제어 위반 경고의 가양성의 수를 줄이기 위해 새 규칙을 기존 정책에 추가하도록 요청합니다.

  • 이제 경로 규칙은 야생 카드 지원합니다. 이 업데이트에서는 wild카드를 사용하여 허용된 경로 규칙을 구성할 수 있습니다. 지원되는 두 가지 시나리오는 다음과 같습니다.

    • 경로 끝에 wild카드 사용하여 이 폴더 및 하위 폴더 내의 모든 실행 파일을 허용합니다.

    • 경로 중간에 wild카드 사용하여 폴더 이름이 변경된 알려진 실행 파일 이름을 사용하도록 설정합니다(예: 알려진 실행 파일이 있는 개인 사용자 폴더, 자동으로 생성된 폴더 이름 등).

적응형 애플리케이션 제어에 대해 자세히 알아봅니다.

SQL Advanced Data Security에 대한 6가지 정책이 더 이상 사용되지 않음

SQL 컴퓨터의 고급 데이터 보안과 관련된 6가지 정책은 더 이상 사용되지 않습니다.

  • SQL 관리형 인스턴스 고급 데이터 보안 설정에서 고급 위협 방지 유형을 '모두'로 설정해야 합니다.
  • SQL Server 고급 데이터 보안 설정에서 고급 위협 방지 유형을 '모두'로 설정해야 합니다.
  • SQL 관리형 인스턴스에 대한 고급 데이터 보안 설정에는 보안 경고를 수신하기 위한 이메일 주소가 포함되어야 합니다.
  • SQL Server에 대한 Advanced Data Security 설정에는 보안 경고를 받을 이메일 주소가 포함되어야 합니다.
  • SQL 관리형 인스턴스 고급 데이터 보안 설정에서 관리자 및 구독 소유자에게 전자 메일 알림을 사용하도록 설정해야 합니다.
  • SQL 서버 Advanced Data Security 설정에는 관리자 및 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다.

기본 제공 정책에 대해 자세히 알아봅니다.

2020년 6월

6월의 업데이트 다음과 같습니다.

보안 점수 API(미리 보기)

이제 보안 점수 API(현재 미리 보기)를 통해 점수에 액세스할 수 있습니다. API 메서드는 데이터를 쿼리할 수 있는 유연성을 제공하고, 시간 경과에 따른 보안 점수에 대한 사용자 고유의 보고 메커니즘을 빌드합니다. 예를 들어 보안 점수 API를 사용하여 특정 구독에 대한 점수를 가져올 수 있습니다. 추가로 보안 점수 제어 API를 사용하여 보안 제어 및 구독의 현재 점수를 나열할 수 있습니다.

보안 점수 API를 사용하여 가능한 외부 도구의 예는 GitHub 커뮤니티의 보안 점수 영역을 참조 하세요.

Azure Security Center의 보안 점수 및 보안 제어에 대해 자세히 알아보세요.

SQL 컴퓨터(Azure, 기타 클라우드 및 온-프레미스)에 대한 Advanced Data Security(미리 보기)

SQL 머신에 대한 Azure Security Center의 고급 데이터 보안은 이제 Azure, 다른 클라우드 환경 및 온-프레미스 머신에서 호스트되는 SQL Server를 보호합니다. 이렇게 하면 하이브리드 환경을 완벽하게 지원하도록 Azure 네이티브 SQL Server에 대한 보호가 확장됩니다.

고급 데이터 보안은 SQL 머신이 어디에 있든지 취약성 평가 및 고급 위협 방지를 제공합니다.

설정에는 다음 두 가지 단계가 포함됩니다.

  1. Azure 계정에 대한 연결을 제공하기 위해 SQL Server의 호스트 컴퓨터에 Log Analytics 에이전트를 배포합니다.

  2. Security Center의 가격 책정 및 설정 페이지에서 선택적 번들을 사용하도록 설정합니다.

SQL 머신의 고급 데이터 보안에 대해 자세히 알아봅니다.

Azure Arc 머신에 Log Analytics 에이전트를 배포하기 위한 두 가지 새로운 권장 사항(미리 보기)

Log Analytics 에이전트를 Azure Arc 머신에 배포하고 Azure Security Center로 보호되도록 하는 데 도움이 되는 두 가지 새로운 권장 사항이 추가되었습니다.

  • Windows 기반 Azure Arc 머신에 Log Analytics 에이전트를 설치해야 함(미리 보기)
  • Linux 기반 Azure Arc 컴퓨터에 Log Analytics 에이전트를 설치해야 함(미리 보기)

이러한 새로운 권장 사항은 기존(관련) 권장 사항과 동일한 4가지 보안 컨트롤에 표시되며, 모니터링 에이전트는 컴퓨터에 설치되어야 합니다. 즉, 보안 구성 수정, 적응형 애플리케이션 제어 적용, 시스템 업데이트 적용 및 엔드포인트 보호 사용.

권장 사항에는 배포 프로세스를 가속화하는 빠른 수정 기능도 포함됩니다.

컴퓨팅 및 앱 권장 사항 테이블에서 이러한 두 가지 새로운 권장 사항에 대해 자세히 알아봅니다 .

Azure Security Center에서 에이전트를 사용하는 방법에 대해 Log Analytics 에이전트는 무엇인가요?에서 자세히 알아보세요.

Azure Arc 머신의 확장에 대해 자세히 알아봅니다.

대규모로 연속 내보내기 및 워크플로 자동화 구성을 만드는 새로운 정책

조직의 모니터링 및 인시던트 대응 프로세스를 자동화하면 보안 인시던트를 조사하고 완화하는 데 걸리는 시간을 크게 향상시킬 수 있습니다.

조직 전체에 자동화 구성을 배포하려면 다음 기본 제공 'DeployIfdNotExist' Azure 정책을 사용하여 연속 내보내기 및 워크플로 자동화 절차를 만들고 구성합니다.

정책 정의는 Azure Policy에서 찾을 수 있습니다.

목표 정책 정책 ID
Event Hubs로 연속 내보내기 Azure Security Center 경고 및 권장 사항에 대한 Event Hub로 내보내기 배포 cdfcce10-4578-4ecd-9703-530938e4abcb
Log Analytics 작업 영역으로 연속 내보내기 Azure Security Center 경고 및 권장 사항에 대한 Log Analytics 작업 영역으로 내보내기 배포 ffb6f416-7bd2-4488-8828-56585fef2be9
보안 경고에 대한 워크플로 자동화 Azure Security Center 경고에 대한 워크플로 자동화 배포 f1525828-9a90-4fcf-be48-268cdd02361e
보안 추천 사항에 대한 워크플로 자동화 Azure Security Center 권장 사항에 대한 워크플로 자동화 배포 73d6ab6c-2475-4850-afd6-43795f3492ef

워크플로 자동화 템플릿을 시작합니다.

제공된 정책을 사용하여 대규모 워크플로 자동화 구성연속 내보내기 설정에서 두 가지 내보내기 정책 사용에 대해 자세히 알아봅니다.

NSG를 사용하여 인터넷에 연결되지 않은 가상 머신을 보호하기 위한 새 추천 사항

"보안 모범 사례 구현" 보안 제어에는 이제 다음과 같은 새로운 권장 사항이 포함됩니다.

  • 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함

네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함이라는 기존 추천 사항은 VM을 대상으로 하는 인터넷 연결 VM과 인터넷에 연결되지 않은 VM을 구분하지 않았습니다. 둘 다 VM이 네트워크 보안 그룹에 할당되지 않은 경우 심각도가 높은 권장 사항이 생성되었습니다. 이 새로운 권장 사항은 가양성을 줄이고 불필요한 심각도가 높은 경고를 방지하기 위해 인터넷이 아닌 컴퓨터를 분리합니다.

네트워크 권장 사항 테이블에서 자세히 알아보세요.

위협 방지 및 고급 데이터 보안을 사용하도록 설정하기 위한 새로운 정책

아래의 새 정책 정의는 ASC 기본 이니셔티브에 추가되었으며, 관련 리소스 종류에 대한 위협 방지 또는 고급 데이터 보안을 지원하도록 설계되었습니다.

정책 정의는 Azure Policy에서 찾을 수 있습니다.

정책 Policy ID
Azure SQL Database 서버에서 Advanced Data Security를 사용하도록 설정해야 함 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
머신의 SQL 서버에서 Advanced Data Security를 사용하도록 설정해야 함 6581d072-105e-4418-827f-bd446d56421b
Azure Storage 계정에서 고급 위협 방지를 사용하도록 설정해야 함 308fbb08-4ab8-4e67-9b29-592e93fb94fa
Azure Key Vault 자격 증명 모음에서 고급 위협 방지를 사용하도록 설정해야 함 0e6763cc-5078-4e64-889d-ff4d9a839047
Azure 앱 Service 계획에서 고급 위협 방지를 사용하도록 설정해야 함 2913021d-f2fd-4f3d-b958-22354e2bdbcb
Azure Container Registry 레지스트리에서 고급 위협 방지를 사용하도록 설정해야 합니다. c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
Azure Kubernetes Service 클러스터에서 고급 위협 방지를 사용하도록 설정해야 함 523b5cd1-3e23-492f-a539-13118b6d1e3a
Virtual Machines에서 고급 위협 방지를 사용하도록 설정해야 함 4da35fc9-c9e7-4960-aec9-797fe7d9051d

Azure Security Center의 위협 방지에 대해 자세히 알아봅니다.

2020년 5월

5월의 업데이트 다음을 포함합니다.

경고 표시 안 함 규칙(미리 보기)

이 새로운 기능(현재 미리 보기 상태)은 경고 피로를 줄이는 데 도움이 됩니다. 규칙을 사용하여 무해하거나 조직의 정상적인 활동과 관련된 것으로 알려진 경고를 자동으로 숨깁니다. 이렇게 하면 가장 관련성이 높은 위협에 집중할 수 있습니다.

활성화된 중복된 경고 제거 규칙과 일치하는 경고는 계속 생성되지만 해당 상태는 해제됨으로 설정됩니다. Azure Portal에서 상태를 보거나 Security Center 보안 경고에 액세스할 수 있습니다.

중복된 경고 제거 규칙은 경고를 자동으로 해제할 조건을 정의합니다. 일반적으로 중복된 경고 제거 규칙은 다음과 같은 용도로 사용합니다.

  • 가양성으로 식별된 경고 표시 안 함

  • 너무 자주 트리거되는 경고가 유용하지 않도록 표시 안 함

Azure Security Center의 위협 방지에서 경고 표시 안 함에 대해 자세히 알아보세요.

이제 일반 공급되는 가상 머신 취약성 평가

이제 Security Center의 표준 계층에는 추가 비용 없이 가상 머신에 대한 통합 취약성 평가가 포함됩니다. 이 확장은 Qualys에서 지원되지만 그 결과를 Security Center에 직접 보고합니다. Qualys 라이선스 또는 Qualys 계정이 필요하지 않습니다. 모든 항목이 Security Center 내에서 원활하게 처리됩니다.

새 솔루션은 가상 머신을 지속적으로 검사하여 취약성을 찾고 Security Center에서 결과를 제시할 수 있습니다.

솔루션을 배포하려면 새 보안 권장 사항을 사용합니다.

"가상 머신(Qualys에서 구동)에서 기본 제공 취약성 평가 솔루션을 사용하도록 설정"

가상 머신에 대한 Security Center의 통합 취약성 평가에 대해 자세히 알아보세요.

JIT(Just-In-Time) VM(가상 머신) 액세스의 변경 사항

Security Center에는 VM의 관리 포트를 보호하는 선택적 기능이 포함되어 있습니다. 이렇게 하면 가장 일반적인 형태의 무차별 암호 대입 공격에 대한 방어가 제공됩니다.

이 업데이트는 이 기능을 다음과 같이 변경합니다.

  • VM에서 JIT를 사용하도록 설정하는 것이 좋습니다. 이전에는 "Just-In-Time 네트워크 액세스 제어를 가상 머신에 적용해야 합니다." 이제는 "가상 머신의 관리 포트를 Just-In-Time 네트워크 액세스 제어로 보호해야 합니다."

  • 추천 사항은 열린 관리 포트가 있는 경우에만 트리거됩니다.

JIT 액세스 기능에 대해 자세히 알아봅니다.

사용자 지정 권장 사항이 별도의 보안 제어로 이동됨

향상된 보안 점수로 도입된 보안 제어 중 하나는 "보안 모범 사례 구현"이었습니다. 구독에 대해 만든 모든 사용자 지정 권장 사항은 해당 컨트롤에 자동으로 배치되었습니다.

사용자 지정 권장 사항을 더 쉽게 찾을 수 있도록 전용 보안 제어인 "사용자 지정 권장 사항"으로 이동했습니다. 이 컨트롤은 보안 점수에 영향을 주지 않습니다.

Azure Security Center에서 향상된 보안 점수(미리 보기)의 보안 컨트롤에 대해 자세히 알아보세요.

설정/해제가 컨트롤의 권장 사항 보기에 또는 단순 목록으로 추가됨

보안 컨트롤은 관련된 보안 권장 사항의 논리적 그룹입니다. 그들은 당신의 취약한 공격 표면을 반영합니다. 컨트롤은 이러한 권장 사항을 구현하는 데 도움이 되는 지침을 포함하는 보안 권장 사항 세트입니다.

조직에서 각 개별 공격 노출 영역을 얼마나 잘 보호하는지 즉시 확인하려면 각 보안 제어에 대한 점수를 검토합니다.

기본적으로 권장 사항은 보안 컨트롤에 표시됩니다. 이 업데이트에서 목록으로 표시할 수도 있습니다. 영향을 받는 리소스의 상태 상태 따라 정렬된 단순 목록으로 보려면 새 토글 '컨트롤별 그룹화'를 사용합니다. 토글은 포털의 목록 위에 있습니다.

보안 컨트롤 및 이 토글은 새로운 보안 점수 환경의 일부입니다. 포털 내에서 피드백을 보내주세요.

Azure Security Center에서 향상된 보안 점수(미리 보기)의 보안 컨트롤에 대해 자세히 알아보세요.

권장 사항에 대해 컨트롤별로 그룹화 토글합니다.

확장된 보안 제어 “보안 모범 사례 구현”

향상된 보안 점수와 함께 도입된 보안 제어 중 하나는 "보안 모범 사례 구현"입니다. 이 컨트롤에 권장 사항이 있으면 보안 점수에 영향을 주지 않습니다.

이 업데이트를 통해 세 가지 권장 사항이 원래 배치된 컨트롤에서 이 모범 사례 컨트롤로 이동되었습니다. 이러한 세 가지 권장 사항에 대한 위험이 처음에 생각된 것보다 낮은 것으로 판단했기 때문에 이 단계를 수행했습니다.

또한 두 가지 새로운 권장 사항이 도입되어 이 컨트롤에 추가되었습니다.

이동한 세 가지 권장 사항은 다음과 같습니다.

  • 구독 에 대한 읽기 권한이 있는 계정에서 MFA를 사용하도록 설정해야 합니다(원래 "MFA 사용" 컨트롤).
  • 읽기 권한이 있는 외부 계정은 구독 에서 제거해야 합니다(원래 "액세스 및 권한 관리" 컨트롤).
  • 구독 에 대해 최대 3개의 소유자를 지정해야 합니다(원래 "액세스 및 권한 관리" 컨트롤에 있음).

컨트롤에 추가된 두 가지 새로운 권장 사항은 다음과 같습니다.

  • Windows Virtual Machines에 게스트 구성 확장을 설치해야 함(미리 보기) - Azure Policy 게스트 구성을 사용하면 가상 머신 내에서 서버 및 애플리케이션 설정에 대한 가시성을 제공합니다(Windows만 해당).

  • 컴퓨터(미리 보기) 에서 Windows Defender Exploit Guard를 사용하도록 설정해야 합니다. Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 활용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당).

Exploit Guard 정책 만들기 및 배포에서 Windows Defender Exploit Guard에 대해 자세히 알아봅니다.

향상된 보안 점수(미리 보기)의 보안 제어에 대해 자세히 알아보세요.

이제 일반 공급되는 사용자 지정 메타데이터가 포함된 사용자 지정 정책

사용자 지정 정책은 이제 Security Center 권장 사항 환경, 보안 점수 및 규정 준수 표준 대시보드의 일부입니다. 이 기능은 이제 일반 공급되며, Security Center에서 조직의 보안 평가 적용 범위를 확장할 수 있습니다.

Azure Policy에서 사용자 지정 이니셔티브를 만들고, 정책을 추가하고, Azure Security Center에 온보딩하고, 권장 사항으로 시각화합니다.

이제 사용자 지정 권장 구성 메타데이터를 편집하는 옵션도 추가했습니다. 메타데이터 옵션에는 심각도, 수정 단계, 위협 정보 등이 포함됩니다.

자세한 정보를 사용하여 사용자 지정 권장 사항 향상에 대해 자세히 알아봅니다.

파일리스 공격 검색으로 마이그레이션되는 크래시 덤프 분석 기능

Windows CDA(크래시 덤프 분석) 검색 기능을 파일리스 공격 검색통합하고 있습니다. 파일리스 공격 검색 분석은 Windows 머신에 대해 향상된 버전의 보안 경고를 제공합니다. 코드 삽입 검색, 검색된 Windows 모듈 위장, 셸 코드 검색 및 의심스러운 코드 세그먼트 검색됨.

이 전환의 이점 중 일부는 다음과 같습니다.

  • 사전 예방적이고 시기 적절한 맬웨어 탐지 - 작동 중단이 발생할 때까지 기다린 다음, 분석을 실행하여 악성 아티팩트를 찾는 데 관련된 CDA 접근 방법입니다. 파일리스 공격 검색을 사용하면 실행 중인 동안 메모리 내 위협을 사전에 식별할 수 있습니다.

  • 보강된 경고 - 파일리스 공격 검색의 보안 경고에는 활성 네트워크 연결 정보와 같이 CDA에서 사용할 수 없는 보강이 포함됩니다.

  • 경고 집계 - CDA가 단일 크래시 덤프 내에서 여러 공격 패턴을 감지하면 여러 보안 경고가 트리거되었습니다. 파일리스 공격 탐지는 동일한 프로세스에서 식별된 모든 공격 패턴을 단일 경고로 결합하여 여러 경고의 상관 관계를 지정할 필요가 없습니다.

  • Log Analytics 작업 영역에 대한 요구 사항 감소 - 잠재적으로 중요한 데이터가 포함된 크래시 덤프는 더 이상 Log Analytics 작업 영역에 업로드되지 않습니다.

2020년 4월

4월의 업데이트는 다음과 같습니다.

이제 동적 규정 준수 패키지를 일반 공급

이제 Azure Security Center 규제 준수 대시보드에는 추가 산업 및 규정 표준을 추적하는 동적 준수 패키지(현재 일반 공급)가 포함됩니다.

Security Center 보안 정책 페이지에서 구독 또는 관리 그룹에 동적 준수 패키지를 추가할 수 있습니다. 표준 또는 벤치마크를 온보딩하면 규정 준수 대시보드에 평가로 매핑된 모든 관련 준수 데이터를 포함한 표준이 표시됩니다. 온보딩한 표준에 대한 요약 보고서가 제공되며 다운로드할 수 있습니다.

이제 다음과 같은 표준을 추가할 수 있습니다.

  • NIST SP 800-53 R4
  • SWIFT CSP CSCF-v2020
  • 영국 공식 및 영국 NHS
  • 캐나다 연방 PBMM
  • Azure CIS 1.1.0(신규) (Azure CIS 1.1.0의 보다 완전한 표현)

또한 최근 일반 준수 프레임워크를 기반으로 하는 보안 및 규정 준수 모범 사례에 대해 Microsoft에서 작성한 Azure 관련 지침인 Azure Security Benchmark를 추가했습니다. 추가 표준이 사용할 수 있게 되면 대시보드에서 지원될 예정입니다.

규정 준수 대시보드에서 표준 집합을 사용자 지정하는 방법에 대해 자세히 알아봅니다.

이제 Azure Security Center 무료 계층에 ID 권장 사항이 포함됨

이제 Azure Security Center 무료 계층에서 ID 및 액세스에 대한 보안 권장 사항이 일반 공급됩니다. 이는 CSPM(클라우드 보안 상태 관리) 기능을 무료로 만들기 위한 노력의 일환입니다. 지금까지 해당 권장 사항은 표준 가격 책정 계층에서만 사용할 수 있었습니다.

ID 및 액세스 권장 사항의 예는 다음과 같습니다.

  • “구독에서 소유자 권한이 있는 계정에 다단계 인증을 사용하도록 설정해야 합니다.”
  • "구독에 대해 최대 3명의 소유자를 지정해야 합니다."
  • “더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다.”

무료 가격 책정 계층에 구독이 있는 경우 해당 보안 점수는 ID 및 액세스 보안에 대해 평가되지 않았으므로 이 변경 사항의 영향을 받습니다.

ID 및 액세스 권장 사항에 대해 자세히 알아보세요.

구독에 대한 MFA(다단계 인증) 적용 관리에 대해 자세히 알아보세요.

2020년 3월

3월의 업데이트 다음과 같습니다.

이제 워크플로 자동화를 일반 공급

이제 Azure Security Center의 워크플로 자동화 기능이 일반 공급됩니다. 이 기능을 사용하여 보안 경고 및 권장 사항에 대해 Logic Apps를 자동으로 트리거할 수 있습니다. 또한 빠른 수정 옵션을 사용할 수 있는 경고 및 모든 권장 사항에 대해 수동 트리거를 사용할 수 있습니다.

모든 보안 프로그램에는 인시던트 응답을 위한 여러 워크플로가 포함되어 있습니다. 이러한 프로세스에는 관련 이해 관계자에게 알리고, 변경 관리 프로세스를 시작하고, 특정 수정 단계를 적용하는 것이 포함될 수 있습니다. 보안 전문가는 가능한 한 해당 절차의 여러 단계를 자동화할 것을 권장합니다. 자동화는 오버헤드를 줄이고 프로세스 단계가 미리 정의된 요구 사항에 따라 빠르고 일관되게 수행되도록 하여 보안을 향상시킬 수 있습니다.

워크플로를 실행하기 위한 자동 및 수동 Security Center 기능에 대한 자세한 내용은 워크플로 자동화를 참조하세요.

Logic Apps를 만드는 방법에 대해 자세히 알아봅니다.

Windows 관리 Center와 Azure Security Center 통합

이제 온-프레미스 Windows 서버를 Windows 관리 센터에서 Azure Security Center로 직접 이동할 수 있습니다. 이렇게 하면 Azure Security Center에서 온-프레미스 서버, 가상 머신, 그 밖의 PaaS 워크로드를 비롯한 모든 Windows Admin Center 리소스의 보안 정보를 한눈에 볼 수 있습니다.

Windows 관리 센터에서 Azure Security Center로 서버를 이동한 후에는 다음을 수행할 수 있습니다.

  • Windows Admin Center의 Security Center 확장에서 보안 경고와 권장 사항 보기.
  • 보안 상태를 확인하고 Azure Portal 또는 API를 통해 Security Center에서 Windows Admin Center 관리 서버에 대한 추가 세부 정보를 검색합니다.

Windows Admin Center와 Azure Security Center를 통합하는 방법에 대해 자세히 알아보세요.

Azure Kubernetes Service에 대한 보호

AKS(Azure Kubernetes Service)를 보호하기 위해 Azure Security Center의 컨테이너 보안 기능이 확장됩니다.

인기 있는 오픈 소스 플랫폼 Kubernetes는 널리 채택되어 이제 컨테이너 오케스트레이션에 대한 업계 표준이 되었습니다. 이러한 광범위한 구현에도 불구하고 Kubernetes 환경을 보호하는 방법에 대한 이해가 여전히 부족합니다. 컨테이너화된 애플리케이션의 공격 표면을 방어하려면 인프라가 안전하게 구성되고 잠재적 위협에 대해 지속적으로 모니터링되도록 하는 전문 지식이 필요합니다.

Security Center 방어에는 다음이 포함됩니다.

  • 검색 및 가시성 - Security Center에 등록된 구독 내에서 관리되는 AKS 인스턴스를 지속적으로 검색합니다.
  • 보안 권장 사항 - AKS에 대한 보안 모범 사례를 준수하는 데 도움이 되는 실행 가능한 권장 사항입니다. 이러한 권장 사항은 조직의 보안 상태의 일부로 볼 수 있도록 보안 점수에 포함됩니다. AKS 관련 권장 사항의 예로는 "역할 기반 액세스 제어를 사용하여 Kubernetes 서비스 클러스터에 대한 액세스를 제한해야 합니다."
  • 위협 방지 - AKS 배포에 대한 지속적인 분석을 통해 Security Center는 호스트 및 AKS 클러스터 수준에서 탐지된 위협 및 악의적인 활동을 경고합니다.

Security Center와 Azure Kubernetes Services의 통합에 대해 자세히 알아봅니다.

Security Center의 컨테이너 보안 기능에 대해 자세히 알아봅니다.

Just-In-Time 환경 개선

관리 포트를 보호하는 Azure Security Center의 Just-In-Time 도구에 대한 기능, 작업 및 UI는 다음과 같이 향상되었습니다.

  • 근거 필드 - Azure Portal의 Just-In-Time 페이지를 통해 VM(가상 머신)에 대한 액세스를 요청할 때 요청에 대한 근거를 입력할 수 있는 새 선택적 필드를 사용할 수 있습니다. 이 필드에 입력한 정보는 활동 로그에서 추적할 수 있습니다.
  • JIT(중복 Just-In-Time) 규칙 자동 클린- JIT 정책을 업데이트할 때마다 클린up 도구가 자동으로 실행되어 전체 규칙 집합의 유효성을 검사. 이 도구는 정책의 규칙과 NSG의 규칙 간 불일치를 검색합니다. 정리 도구에서 불일치를 발견하면 원인을 확인하고 안전한 경우 더 이상 필요하지 않은 기본 제공 규칙을 제거합니다. 클리너는 사용자가 만든 규칙을 삭제하지 않습니다.

JIT 액세스 기능에 대해 자세히 알아봅니다.

사용되지 않는 웹 애플리케이션에 대한 두 가지 보안 권장 사항

웹 애플리케이션과 관련된 다음과 같은 두 가지 보안 권장 사항이 사용 중단됩니다.

  • IaaS NSG에서 웹 애플리케이션에 대한 규칙을 강화해야 합니다. (관련 정책: IaaS의 웹 애플리케이션에 대한 NSG 규칙을 강화해야 합니다.)

  • App Services에 대한 액세스를 제한해야 합니다. (관련 정책: App Services에 대한 액세스를 제한해야 합니다[미리 보기])

이러한 권장 사항은 더 이상 Security Center 권장 사항 목록에 표시되지 않습니다. 관련 정책은 "Security Center 기본값"이라는 이니셔티브에 더 이상 포함되지 않습니다.

보안 권장 사항에 대해 자세히 알아보세요.

2020년 2월

Linux용 파일리스 공격 검색(미리 보기)

공격자가 탐지를 피하려고 점점 은폐성이 더 강한 방법을 이용함에 따라 Azure Security Center는 Windows 외에 Linux에 대해 파일 미사용 공격 감지를 확장합니다. 파일 미사용 공격은 소프트웨어 취약성을 악용하고, 악성 페이로드를 무해한 시스템 프로세스에 삽입하고, 메모리에서 숨깁니다. 이러한 기술은 다음과 같습니다.

  • 디스크에서 맬웨어 추적 최소화 또는 제거
  • 디스크 기반 맬웨어 검색 솔루션에서 검색 가능성을 크게 줄입니다.

이 위협에 대응하기 위해 Azure Security Center는 2018년 10월에 Windows용 파일 미사용 공격 감지를 릴리스했으며, 이제 Linux에서도 파일 미사용 공격 감지가 확장되었습니다.

2020년 1월

향상된 보안 점수(미리 보기)

이제 Azure Security Center의 향상된 버전의 보안 점수 기능이 미리 보기에서 제공됩니다. 이 버전에서 여러 권장 사항은 취약한 공격 노출 영역을 더 잘 반영하는 보안 컨트롤로 그룹화되어 있습니다(예: 관리 포트에 대한 액세스 제한).

미리 보기 단계에서 보안 점수 변경을 숙지하고 환경을 보다 안전하게 보호하는 데 도움이 되는 다른 수정을 결정합니다.

향상된 보안 점수(미리 보기)에 대해 자세히 알아봅니다.

2019년 11월

11월의 업데이트는 다음과 같습니다.

북아메리카 지역의 Azure Key Vault에 대한 위협 방지(미리 보기)

Azure Key Vault는 클라우드에서 키, 비밀, 암호화 키 및 정책을 중앙 집중적으로 관리하는 기능을 제공하여 데이터를 보호하고 클라우드 애플리케이션의 성능을 개선하는 필수 서비스입니다. Azure Key Vault는 중요한 중요 비즈니스용 데이터를 저장하므로 저장되는 키 자격 증명 모음 및 데이터에 대해 최대 보안이 필요합니다.

Azure Key Vault에 대한 위협 방지에 대한 Azure Security Center의 지원은 키 자격 증명 모음에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하는 추가 보안 인텔리전스 계층을 제공합니다. 이 새로운 보호 계층을 통해 고객은 보안 전문가가 되거나 보안 모니터링 시스템을 관리할 필요 없이 키 자격 증명 모음에 대한 위협을 해결 수 있습니다. 이 기능은 북아메리카 지역에서 퍼블릭 미리 보기로 제공됩니다.

Azure Storage 위협 방지에 맬웨어 평판 검사가 포함됨

Azure Storage 위협 방지는 해시 평판 분석을 사용한 Azure Storage로의 맬웨어 업로드와 활성 Tor 종료 노드(익명화하는 프록시)의 의심스러운 액세스를 탐지할 수 있는 새로운 탐지 기능(Microsoft 위협 인텔리전스에서 제공함)을 제공합니다. 이제 Azure Security Center를 사용하여 스토리지 계정에서 탐지된 맬웨어를 확인할 수 있습니다.

Logic Apps를 사용하는 워크플로 자동화(미리 보기)

보안 및 IT/운영을 중앙 집중식으로 관리하는 조직은 환경에서 불일치가 발견되는 경우 조직 내에서 필요한 작업을 수행하도록 내부 워크플로 프로세스를 구현합니다. 대부분의 경우 이러한 워크플로는 반복 가능한 프로세스이며 자동화는 조직 내의 프로세스를 대폭 간소화할 수 있습니다.

오늘은 고객이 Azure Logic Apps를 활용하여 자동화 구성을 만들고 권장 사항이나 경고 같은 특정 ASC 발견 사항에 따라 자동으로 트리거되는 정책을 만들 수 있도록 지원하는 새로운 Security Center의 기능을 소개합니다. Azure 논리 앱은 방대한 논리 앱 커넥터 커뮤니티에서 지원하는 사용자 지정 작업을 수행하거나 메일 보내기 또는 ServiceNow™ 티켓 열기와 같이 Security Center에서 제공하는 템플릿 중 하나를 사용하도록 구성할 수 있습니다.

워크플로를 실행하기 위한 자동 및 수동 Security Center 기능에 대한 자세한 내용은 워크플로 자동화를 참조하세요.

Logic Apps를 만드는 방법에 대해 자세히 알아보려면 Azure Logic Apps를 참조하세요.

대량 리소스에 대한 빠른 수정 일반 공급

Secure Score의 일부로 사용자에게 제공되는 많은 작업으로 인해 대규모 문제를 효과적으로 해결하는 기능이 어려워질 수 있습니다.

빠른 수정 수정을 사용하여 보안 잘못된 구성을 수정하고, 여러 리소스에 대한 권장 사항을 수정하고, 보안 점수를 향상시킵니다.

이 작업을 통해 수정을 적용할 리소스를 선택하고 사용자를 대신해 설정을 구성할 수정 작업을 시작할 수 있습니다.

빠른 수정은 Security Center 권장 사항 페이지의 일부로 오늘날 고객에게 일반적으로 제공됩니다.

보안 권장 사항에 대한 참조 가이드에서 빠른 수정이 사용하도록 설정된 권장 사항을 확인합니다.

취약성에 대한 컨테이너 이미지 검사(미리 보기)

Azure Security Center에서 이제 Azure Container Registry에 있는 컨테이너 이미지의 취약성을 검사할 수 있습니다.

이미지 검사는 컨테이너 이미지 파일을 구문 분석한 후 알려진 취약성이 있는지 확인하는 방식으로 수행됩니다(Qualys 기반).

검사 자체는 새 컨테이너 이미지를 Azure Container Registry로 푸시하면 자동으로 트리거됩니다. 발견된 취약성은 Security Center 권장 사항으로 나타나고 허용되는 공격 표면을 줄이기 위해 패치하는 방법에 대한 정보와 함께 Secure Score에 포함됩니다.

추가 규정 준수 표준(미리 보기)

규정 준수 대시보드는 Security Center 평가를 바탕으로 규정 준수 포스처에 대한 인사이트를 제공합니다. 대시보드는 특정 규정 표준 및 업계 벤치마크에 따라 지정된 제어 및 요구 사항을 사용자 환경에서 어떤 방식으로 준수하는지 보여 주고 이러한 요구 사항을 해결하는 방법에 대한 규범적 권장 사항을 제공합니다.

규정 준수 대시보드는 다음 네 가지 기본 제공 표준을 지원했습니다. Azure CIS 1.1.0, PCI-DSS, ISO 27001 및 SOC-TSP. 이제 지원되는 추가 표준인 NIST SP 800-53 R4, SWIFT CSP CSCF v2020, 캐나다 연방 PBMM 및 영국 공식과 영국 NHS의 공개 미리 보기 릴리스를 발표합니다. 표준의 추가 제어 사항이 포함되었고 확장성이 향상된 Azure CIS 1.1.0의 업데이트 버전도 릴리스됩니다.

규정 준수 대시보드에서 표준 집합을 사용자 지정하는 방법에 대해 자세히 알아봅니다.

Azure Kubernetes Service에 대한 위협 방지(미리 보기)

Kubernetes는 클라우드에서 빠른 속도로 소프트웨어 배포 및 관리의 새로운 표준이 되고 있습니다. Kubernetes와 관련하여 폭넓은 경험을 가진 사용자는 거의 없으며 다수가 일반 엔지니어링과 관리에만 집중하고 보안 측면은 간과하고 있습니다. Kubernetes 환경은 안전하도록 신중하게 구성하여 컨테이너 중심 공격 표면 도어가 열린 상태로 남아 공격자에게 노출되는 일이 없게 해야 합니다. Security Center는 Azure에서 가장 빠르게 성장하고 있는 서비스 중 하나인 AKS(Azure Kubernetes Service)로 컨테이너 공간에서의 지원을 확장하고 있습니다.

이 퍼블릭 미리 보기 릴리스의 새로운 기능은 다음과 같습니다.

  • 검색 및 표시 유형 - Security Center의 등록된 구독 내에서 관리되는 AKS 인스턴스를 지속적으로 검색합니다.
  • 보안 점수 권장 사항 - 고객이 AKS에 대한 보안 모범 사례를 준수하고 보안 점수를 높이는 데 도움이 되는 실행 가능한 항목입니다. 권장 사항 "Kubernetes Service 클러스터에 대한 액세스를 제한하기 위해 역할 기반 액세스 제어를 사용해야 함"과 같은 항목을 포함합니다.
  • 위협 감지 - 호스트 및 클러스터 기반 분석(예: "권한 있는 컨테이너 검색됨")

가상 머신 취약성 평가(미리 보기)

가상 머신에 설치된 애플리케이션은 가상 머신 보안 위반으로 이어질 수 있는 취약성을 지니고 있는 경우가 많습니다. Security Center 표준 계층에는 추가 비용 없이 가상 머신에 대한 기본 제공 취약성 평가가 포함되어 있습니다. 공개 미리 보기에서 Qualys를 통해 제공되는 취약성 평가를 통해 가상 머신에 설치된 모든 애플리케이션을 지속적으로 검사하여 취약한 애플리케이션을 찾고 Security Center 포털의 환경에서 결과를 제시할 수 있습니다. Security Center에서 모든 배포 작업을 처리하므로 사용자의 추가 작업이 필요하지 않습니다. 향후 고객의 고유한 비즈니스 요구 사항을 지원하기 위한 취약성 평가 옵션을 제공할 계획입니다.

Azure Virtual Machines의 취약성 평가에 대해 자세히 알아봅니다.

Azure Virtual Machines의 SQL 서버에 대한 고급 데이터 보안(미리 보기)

IaaS VM에서 실행되는 SQL DB에 대한 위협 방지 및 취약성 평가에 대한 Azure Security Center의 지원은 현재 미리 보기로 제공됩니다.

취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있는 구성하기 간편한 서비스입니다. Secure Score의 일부로 보안 태세에 대한 가시성을 제공하고, 보안 문제를 해결하고 데이터베이스 보안을 강화하는 단계를 포함합니다.

Advanced Threat Protection은 비정상적이며 잠재적으로 유해할 수 있는 SQL Server 액세스 또는 악용 시도를 나타내는 비정상적인 활동을 검색합니다. 데이터베이스에 의심스러운 활동이 있는지 지속적으로 모니터링하고 비정상적인 데이터베이스 액세스 패턴에 대한 작업 지향 보안 경고를 제공합니다. 이러한 경고는 의심스러운 활동에 대한 세부 정보와 위협을 조사하고 완화하는 데 권장되는 작업을 제공합니다.

사용자 지정 정책 지원(미리 보기)

Azure Security Center에서 이제 사용자 지정 정책을 지원합니다(미리 보기).

고객은 Azure Policy에서 만든 정책을 기반으로 한 자체 보안 평가를 통해 Security Center의 현재 보안 평가 적용 범위를 확장하기를 바라왔습니다. 이제 사용자 지정 정책이 지원됨에 따라 이러한 고객의 바람을 실현할 수 있게 되었습니다.

이러한 새 정책은 Security Center 권장 사항 환경, Secure Score 및 규정 준수 표준 대시보드에 포함됩니다. 이제 사용자 지정 정책을 지원하여 Azure Policy에서 사용자 지정 이니셔티브를 만든 다음 Security Center에서 정책으로 추가하고 권장 사항으로 시각화할 수 있습니다.

커뮤니티 및 파트너 플랫폼을 통해 Azure Security Center 적용 범위 확장

Security Center를 사용하여 Microsoft뿐만 아니라 더 많은 통합이 제공되는 Check Point, Tenable 및 CyberArk와 같은 파트너의 기존 솔루션에서 권장 사항을 받을 수 있습니다. Security Center의 간단한 온보딩 흐름은 기존 솔루션을 Security Center에 연결하여 보안 상태 권장 사항을 한 곳에서 보고, 통합 보고서를 실행하고, 기본 제공 및 파트너 권장 사항 모두에 대해 Security Center의 모든 기능을 활용할 수 있습니다. Security Center 권장 사항을 파트너 제품으로 내보낼 수도 있습니다.

Microsoft 지능형 보안 연합에 대해 자세히 알아봅니다.

권장 사항 및 경고 내보내기와 고급 통합(미리 보기)

Security Center 맨 위에서 엔터프라이즈 수준 시나리오를 사용하도록 설정하기 위해 이제 Azure Portal 또는 API를 제외하고 추가 위치에서 Security Center 경고 및 권장 사항을 사용할 수 있습니다. 이를 이벤트 허브 및 Log Analytics 작업 영역으로 직접 내보낼 수 있습니다. 새로운 기능과 관련하여 만들 수 있는 몇 가지 워크플로는 다음과 같습니다.

  • Log Analytics 작업 영역으로 내보내기를 사용하면 Power BI를 사용하여 사용자 지정 대시보드를 만들 수 있습니다.
  • Event Hub로 내보내기를 사용하면 Security Center 경고 및 권장 사항을 타사 SIEM, 타사 솔루션 또는 Azure Data Explorer로 내보낼 수 있습니다.

Windows Admin Center에서 Security Center에 온-프레미스 서버 온보딩(미리 보기)

Windows Admin Center는 Azure에 배포되지 않은 Windows 서버를 위한 관리 포털로, 백업 및 시스템 업데이트와 같은 여러 Azure 관리 기능을 제공합니다. 최근 ASC를 통해 보호할 이러한 비 Azure 서버를 Windows Admin Center 환경에서 바로 온보딩하는 기능이 추가되었습니다.

이 새로운 환경을 통해 사용자는 WAC 서버를 Azure Security Center에 온보딩하고 Windows 관리 Center 환경에서 직접 보안 경고 및 권장 사항을 볼 수 있습니다.

2019년 9월

9월의 업데이트 다음과 같습니다.

적응형 애플리케이션 컨트롤을 사용하여 규칙 관리 개선

적응형 애플리케이션 제어를 사용하여 가상 머신에 대한 규칙을 관리하는 환경이 개선되었습니다. Azure Security Center의 적응형 애플리케이션 제어는 가상 머신에서 실행할 수 있는 애플리케이션을 제어하는 데 도움이 됩니다. 규칙 관리의 일반적인 향상 외에도 새 혜택을 통해 새 규칙을 추가할 때 보호할 파일 형식을 제어할 수 있습니다.

적응형 애플리케이션 제어에 대해 자세히 알아봅니다.

Azure Policy를 사용하여 컨테이너 보안 권장 사항 제어

이제 Azure Policy를 통해 컨테이너 보안의 취약성을 수정하기 위한 Azure Security Center의 권장 사항을 사용하거나 사용하지 않도록 설정할 수 있습니다.

사용하도록 설정된 보안 정책을 보려면 Security Center에서 보안 정책 페이지를 엽니다.

2019년 8월

8월의 업데이트는 다음과 같습니다.

Azure Firewall에 대한 JIT(Just-In-Time) VM 액세스

Azure Firewall용 JIT(Just-In-Time) VM 액세스가 이제 일반 공급됩니다. 이를 사용하여 NSG 보호 환경 외에도 Azure Firewall 보호 환경을 보호합니다.

JIT VM 액세스는 NSG 및 Azure Firewall 규칙을 사용하여 필요한 경우에만 VM에 제어된 액세스를 제공하여 네트워크 대규모 공격에 대한 노출을 줄입니다.

VM에 대해 JIT를 사용하도록 설정할 때, 보호할 포트, 포트가 열린 상태로 유지될 시간 및 이러한 포트가 액세스될 수 있는 승인된 IP 주소 등을 결정하는 정책을 만듭니다. 이 정책으로 액세스를 요청할 때 사용자가 할 수 있는 작업을 계속 제어할 수 있습니다.

요청은 Azure 활동 로그에 기록되므로 액세스를 쉽게 모니터링하고 감사할 수 있습니다. JIT(just-in-time) 페이지를 사용하면 JIT가 사용하도록 설정된 기존 VM과 JIT가 권장되는 VM을 빠르게 식별할 수 있습니다.

Azure Firewall에 대해 자세히 알아보세요.

보안 태세를 강화하기 위한 클릭 한 번 수정(미리 보기)

보안 점수는 워크로드 보안 태세를 평가할 수 있는 도구입니다. 이 도구는 사용자의 보안 권장 사항을 검토하고 우선 순위를 지정하므로 사용자는 먼저 수행할 권장 사항을 파악할 수 있습니다. 이를 통해 가장 심각한 보안 취약성을 찾아내 조사의 순위를 지정할 수 있습니다.

보안 잘못된 구성의 수정을 간소화하고 보안 점수를 빠르게 개선하는 데 도움이 되도록 한 번의 클릭으로 대량의 리소스에 대한 권장 사항을 수정할 수 있는 새로운 기능을 추가했습니다.

이 작업을 통해 수정을 적용할 리소스를 선택하고 사용자를 대신해 설정을 구성할 수정 작업을 시작할 수 있습니다.

보안 권장 사항에 대한 참조 가이드에서 빠른 수정이 사용하도록 설정된 권장 사항을 확인합니다.

테넌트 간 관리

Security Center는 이제 Azure Lighthouse의 일부로 교차 테넌트 관리 시나리오를 지원합니다. 따라서 Security Center에서 여러 테넌트를 파악하고 여러 테넌트의 보안 상태를 관리할 수 있습니다.

테넌트 간 관리 환경에 대해 자세히 알아보세요.

2019년 7월

네트워크 권장 사항에 대한 업데이트

ASC(Azure Security Center)에 새로운 네트워킹 권장 사항 및 개선된 몇 가지 기존 네트워킹 권장 사항이 있습니다. 이제 리소스의 네트워킹 보호에 Security Center를 훨씬 더 유용하게 이용할 수 있습니다.

네트워크 권장 사항에 대해 자세히 알아봅니다.

2019년 6월

적응형 네트워크 강화 - 일반 공급

퍼블릭 클라우드에서 실행되는 워크로드의 가장 많은 부분을 차지하는 공격 노출은 공용 인터넷과의 연결에서 발생합니다. 고객은 Azure 워크로드를 필요한 원본 범위에만 사용할 수 있도록 하기 위해 어떤 NSG(네트워크 보안 그룹) 규칙을 사용해야 하는지 파악하기 어렵습니다. 이 기능을 통해 Security Center는 Azure 워크로드의 네트워크 트래픽과 연결 패턴을 학습하고 인터넷 연결 가상 머신을 위한 NSG 규칙 권장 사항을 제공합니다. 이를 통해 고객은 네트워크 액세스 정책을 더 잘 구성하고 공격에 대한 노출을 제한할 수 있습니다.

적응형 네트워크 강화에 대해 자세히 알아봅니다.