Microsoft Sentinel을 사용한 Azure Firewall 개요
이제 Azure Sentinel용 Azure Firewall 솔루션을 배포하기 쉬운 형태로 검색 및 예방을 모두 제공합니다.
보안은 사전 예방적 방어와 사후 방어 간의 지속적인 균형입니다. 둘 다 똑같이 중요하며 어느 것도 무시할 수 없습니다. 조직을 효과적으로 보호한다는 것은 예방과 탐지를 지속적으로 최적화하는 것을 의미합니다.
예방과 탐지를 결합하면 사이버 공격을 탐지하고 신속하게 대응하기 위한 위반 사고방식 가정을 유지하는 동시에 가능한 경우 정교한 위협을 방지할 수 있습니다.
필수 조건
- 활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.
주요 기능
Azure Firewall을 Microsoft Sentinel과 통합하면 다음 기능을 사용할 수 있습니다.
- Azure Firewall 활동 모니터링 및 시각화
- 위협 감지 및 AI 지원 조사 기능 적용
- 다른 원본에 대한 응답 및 상관 관계 자동화
전체 환경은 Microsoft Sentinel Marketplace에서 솔루션으로 패키지되어 있으므로 비교적 쉽게 배포할 수 있습니다.
Microsoft Sentinel용 Azure Firewall 솔루션 배포 및 사용
콘텐츠 허브에서 솔루션을 신속하게 배포할 수 있습니다. Microsoft Sentinel 작업 영역에서 Analytics를 선택한 다음, 콘텐츠 허브에서 추가 콘텐츠를 선택합니다. Azure Firewall을 검색하여 선택한 다음, 설치를 선택합니다.
설치되면 마법사의 모든 단계에 따라 관리를 선택하고 유효성 검사를 통과한 다음, 솔루션을 만듭니다. 몇 가지 선택만으로 커넥터, 검색, 통합 문서 및 플레이북을 포함한 모든 콘텐츠가 Microsoft Sentinel 작업 영역에 배포됩니다.
Azure Firewall 활동 모니터링 및 시각화
Azure Firewall 통합 문서를 사용하면 Azure Firewall 이벤트를 시각화할 수 있습니다. 이 통합 문서를 사용하여 다음을 수행할 수 있습니다.
- 애플리케이션 및 네트워크 규칙에 대해 알아보기
- URL, 포트 및 주소에서 방화벽 활동에 대한 통계를 참조하세요.
- 방화벽 및 리소스 그룹별로 필터링
- 로그에서 문제를 조사할 때 읽기 쉬운 데이터 세트를 사용하여 범주별로 동적으로 필터링합니다.
통합 문서는 방화벽 활동을 지속적으로 모니터링하기 위한 단일 대시보드를 제공합니다. 위협 감지, 조사 및 대응과 관련하여 Azure Firewall 솔루션은 기본 제공 검색 및 헌팅 기능도 제공합니다.
위협 감지 및 AI 지원 조사 기능 사용
솔루션의 검색 규칙은 Microsoft Sentinel에 Azure Firewall 신호를 분석하여 네트워크를 통과하는 악의적인 활동 패턴을 나타내는 트래픽을 검색하는 강력한 방법을 제공합니다. 이렇게 하면 위협에 대한 신속한 대응 및 수정이 가능합니다.
방화벽 솔루션 내에서 악의적 사용자가 추구하는 공격 단계는 MITRE ATT&CK 프레임워크에 따라 분할됩니다. MITRE 프레임워크는 초기 정찰 단계부터 데이터 반출까지 사이버 공격의 단계를 추적하는 일련의 단계입니다. 이 프레임워크는 방어자가 랜섬웨어, 보안 침해 및 지능형 공격을 이해하고 대처하는 데 도움이 됩니다.
이 솔루션에는 검색 단계(시스템 및 내부 네트워크에 대한 지식 얻기)에서 명령 및 제어(C2) 단계(손상된 시스템과 통신하여 제어)를 거쳐 반출 단계(조직에서 데이터를 훔치려는 악의적 사용자)에 이르기까지 악의적 사용자가 공격의 일부로 사용할 수 있는 일반적인 시나리오에 대한 검색이 포함됩니다.
| 검색 규칙 | 수행하는 작업 | 무엇을 나타내나요? |
|---|---|---|
| 포트 검사 | Azure Firewall에서 열려 있는 여러 포트를 검사하는 원본 IP를 식별합니다. | 공격자가 포트를 악의적으로 검색하여 초기 액세스에 손상될 수 있는 조직의 열린 포트를 공개하려고 합니다. |
| 포트 스윕 | Azure Firewall의 다른 IP에서 열려 있는 동일한 포트를 검사하는 원본 IP를 식별합니다. | 조직에서 특정 취약한 포트가 열려 있는 IP를 공개하려는 공격자가 포트를 악의적으로 검색합니다. |
| 원본 IP에 대한 비정상적인 거부 비율 | 구성된 기간 동안 수행된 기계 학습을 기반으로 대상 IP에 대한 특정 원본 IP의 비정상적인 거부 비율을 식별합니다. | 잠재적인 반출, 초기 액세스 또는 C2 - 공격자가 조직의 컴퓨터에서 동일한 취약성을 악용하려고 하지만 Azure Firewall 규칙이 차단합니다. |
| 프로토콜에 비정상적인 포트 | 활동 기간 동안 수행된 기계 학습을 기반으로 비표준 포트를 통해 잘 알려진 프로토콜에 대한 통신을 식별합니다. | 알려진 포트(SSH, HTTP)를 통해 통신하려고 하지만 포트 번호와 일치하는 알려진 프로토콜 헤더를 사용하지 않는 공격자에 의한 악의적인 통신(C2) 또는 반출합니다. |
| 동일한 TI 대상의 영향을 받는 여러 원본 | Azure Firewall에서 TI(위협 인텔리전스)에 의해 차단된 동일한 대상에 접근하려는 여러 컴퓨터를 식별합니다. | 조직에서 데이터를 유출하려는 동일한 공격 그룹이 조직을 공격합니다. |
헌팅 쿼리
헌팅 쿼리는 보안 연구원이 인시던트가 발생한 후 또는 새로운 공격이나 알 수 없는 공격을 사전에 감지하기 위해 조직 네트워크에서 위협을 찾을 수 있는 도구입니다. 이를 위해 보안 연구원은 여러 가지 IOC(손상 지표)를 살펴봅니다. Azure Firewall 솔루션의 기본 제공 Azure Sentinel 헌팅 쿼리는 보안 연구원에게 방화벽 로그에서 영향력이 큰 활동을 찾는 데 필요한 도구를 제공합니다. 몇 가지 예는 다음과 같습니다.
| 헌팅 쿼리 | 수행하는 작업 | 무엇을 나타내나요? |
|---|---|---|
| 원본 IP가 대상 포트에 처음 연결되는 경우 | 새 호스트 또는 IP가 특정 포트를 사용하여 대상과 통신하려고 할 때 일반적인 IOA(공격 표시)를 식별하는 데 도움이 됩니다. | 지정된 기간 동안의 일반 트래픽 학습에 기반합니다. |
| 원본 IP가 대상에 처음 연결되는 경우 | 이전에 대상에 액세스한 적이 없는 컴퓨터에서 악의적인 통신이 처음으로 수행된 경우 IOA를 식별하는 데 도움이 됩니다. | 지정된 기간 동안의 일반 트래픽 학습에 기반합니다. |
| 원본 IP가 여러 대상에 비정상적으로 연결 | 여러 대상에 비정상적으로 연결하는 원본 IP를 식별합니다. | 공격자가 조직의 여러 컴퓨터 사이를 이동하여 측면 이동 경로나 다른 컴퓨터의 동일한 취약점을 악용하여 액세스할 취약한 컴퓨터를 찾으려는 초기 액세스 시도를 나타냅니다. |
| 조직에 일반적이지 않은 포트 | 조직 네트워크에서 사용되는 비정상적인 포트를 식별합니다. | 공격자는 모니터링되는 포트를 우회하고 일반적이지 않은 포트를 통해 데이터를 보낼 수 있습니다. 이를 통해 공격자는 일상적인 검색 시스템의 탐지를 피할 수 있습니다. |
| 대상 IP에 대한 일반적이지 않은 포트 연결 | 컴퓨터에서 대상 IP에 연결하는 데 사용하는 비정상적인 포트를 식별합니다. | 공격자는 모니터링되는 포트를 우회하고 일반적이지 않은 포트를 통해 데이터를 보낼 수 있습니다. 또한 통신을 위해 컴퓨터에서 사용한 적이 없는 포트를 사용하여 조직의 컴퓨터로부터의 반출 공격을 나타낼 수도 있습니다. |
다른 원본에 대한 응답 및 상관 관계 자동화
마지막으로 Azure Firewall에는 위협에 대한 대응을 자동화할 수 있는 Azure Sentinel 플레이북도 포함되어 있습니다. 예를 들어 방화벽은 네트워크의 특정 디바이스가 비표준 TCP 포트로 HTTP 프로토콜을 통해 인터넷과 통신하려고 하는 이벤트를 기록한다고 가정합니다. 이 작업은 Azure Sentinel에서 검색을 트리거합니다. 플레이북은 Microsoft Teams를 통해 보안 운영 팀에 대한 알림을 자동화하고, 보안 분석가는 단일 선택 항목으로 디바이스의 원본 IP 주소를 차단할 수 있습니다. 이렇게 하면 조사가 완료될 때까지 인터넷에 액세스할 수 없습니다. 플레이북을 사용하면 이 프로세스를 훨씬 더 효율적이고 간소화할 수 있습니다.
실제 예제
실제 시나리오에서 완전히 통합된 솔루션이 어떤 모습인지 살펴보겠습니다.
Azure Firewall에 의한 공격 및 초기 방지
회사의 영업 담당자가 실수로 피싱 이메일을 열고 맬웨어가 포함된 PDF 파일을 열었습니다. 맬웨어는 즉시 악성 웹 사이트에 연결하려고 시도하지만 Azure Firewall이 이를 차단합니다. 방화벽이 사용하는 Microsoft 위협 인텔리전스 피드를 통해 도메인을 검색했습니다.
응답
연결 시도는 Azure Sentinel에서 검색을 트리거하고 플레이북 자동화 프로세스를 시작하여 Teams 채널을 통해 보안 운영 팀에 알립니다. 여기에서 분석가는 컴퓨터가 인터넷과 통신하지 못하도록 차단할 수 있습니다. 그런 다음, 보안 운영 팀은 영업 담당자의 컴퓨터에서 맬웨어를 제거하는 IT 부서에 알립니다. 그러나 연구원은 사전 예방적 접근 방식을 취하고 더 심층적으로 살펴보기 위해 Azure Firewall 헌팅 쿼리를 적용하고 원본 IP가 여러 대상에 비정상적으로 연결 쿼리를 실행합니다. 이를 통해 감염된 컴퓨터의 맬웨어가 광범위한 네트워크를 통해 여러 다른 디바이스와 통신을 시도하고 그 중 몇 가지에 액세스하려고 시도했음을 알 수 있습니다. 네트워크의 측면 이동을 방지하기 위한 적절한 네트워크 분할이 없었고 새 디바이스에는 맬웨어가 감염시키기 위해 악용한 알려진 취약성이 있었기 때문에 이러한 액세스 시도 중 하나는 성공했습니다.
결과
보안 연구원은 새 디바이스에서 맬웨어를 제거하고 공격 완화를 완료했으며 이 과정에서 네트워크 약점을 발견했습니다.