보안 경고 - 참조 가이드
이 문서에서는 클라우드용 Microsoft Defender 수신할 수 있는 보안 경고 및 사용하도록 설정된 모든 Microsoft Defender 계획을 나열하는 페이지에 대한 링크를 제공합니다. 사용자 환경에 표시되는 경고는 보호 중인 리소스 및 서비스 및 사용자 지정 구성에 따라 달라집니다.
참고 항목
Microsoft Defender 위협 인텔리전스 및 엔드포인트용 Microsoft Defender 의해 구동되는 최근에 추가된 경고 중 일부는 문서화되지 않았을 수 있습니다.
이 페이지에는 MITRE ATT&CK 매트릭스 버전 9에 맞춰 정렬된 클라우드용 Microsoft Defender 킬 체인을 설명하는 테이블도 포함되어 있습니다.
참고 항목
다른 원본의 경고가 표시되려면 시간이 다를 수 있습니다. 예를 들어 네트워크 트래픽을 분석해야 하는 경고는 가상 머신에서 실행되는 의심스러운 프로세스와 관련된 경고보다 더 오래 걸릴 수 있습니다.
범주별 보안 경고 페이지
- Windows 머신에 대한 경고
- Linux 머신에 대한 경고
- DNS에 대한 경고
- Azure VM 확장에 대한 경고
- Azure 앱 서비스에 대한 경고
- 컨테이너에 대한 경고 - Kubernetes 클러스터
- SQL Database 및 Azure Synapse Analytics에 대한 경고
- 오픈 소스 관계형 데이터베이스에 대한 경고
- Resource Manager에 대한 경고
- Azure Storage에 대한 경고
- Azure Cosmos DB에 대한 경고
- Azure 네트워크 계층에 대한 경고
- Azure Key Vault에 대한 경고
- Azure DDoS Protection에 대한 경고
- Defender for API에 대한 경고
- AI 워크로드에 대한 경고
- 사용되지 않는 보안 경고
MITRE ATT&CK 전술
공격 의도를 파악하면 이벤트를 더욱 쉽게 조사하고 보고할 수 있습니다. 이러한 노력을 돕기 위해 클라우드용 Microsoft Defender 경고에는 많은 경고가 포함된 MITRE 전술이 있습니다.
정찰에서 데이터 반출에 이르는 사이버 공격의 진행 과정을 설명하는 일련의 단계를 종종 "킬 체인(kill chain)"이라고 합니다.
클라우드용 Defender 지원되는 킬 체인 의도는 MITRE ATT&CK 매트릭스 버전 9를 기반으로 하며 아래 표에 설명되어 있습니다.
| 방법 | ATT&CK 버전 | 설명 |
|---|---|---|
| 사전 공격 | 사전 공격은 악의적인 의도에 관계없이 특정 리소스에 액세스하려는 시도이거나, 착취하기 전에 정보를 수집하기 위해 대상 시스템에 액세스하려는 시도가 실패한 것일 수 있습니다. 이 단계는 일반적으로 네트워크 외부에서 발생하며 대상 시스템을 검사하고 진입점을 식별하려는 시도로 감지됩니다. | |
| Initial Access | V7, V9 | 초기 액세스는 공격자가 공격을 받는 리소스에 대한 기반을 구축하기 위해 관리하는 단계입니다. 이 단계는 사용자 계정, 인증서 등의 컴퓨팅 호스트 및 리소스와 관련이 있습니다. 이 단계 이후에는 위협 행위자가 리소스를 제어할 수 있는 경우가 많습니다. |
| 지속성 | V7, V9 | 지속성은 위협 행위자에게 해당 시스템에 지속적인 현존을 제공하는 시스템에 대한 액세스, 작업 또는 구성 변경입니다. 위협 행위자는 종종 액세스 권한을 다시 얻기 위해 대체 백도어를 다시 시작하거나 제공하도록 시스템 재시작, 자격 증명 손실 또는 원격 액세스 도구가 필요한 기타 장애 등의 중단을 통해 시스템에 대한 액세스를 유지해야 합니다. |
| 권한 상승 | V7, V9 | 권한 상승은 악의적 사용자가 시스템 또는 네트워크에서 더 높은 수준의 권한을 얻을 수 있는 작업의 결과입니다. 특정 도구나 작업을 수행하려면 더 높은 수준의 권한이 필요하며 작업 전체의 여러 지점에서 필요할 수 있습니다. 특정 시스템에 액세스하거나 악의적 사용자가 목표를 달성하는 데 필요한 특정 기능을 수행할 수 있는 권한이 있는 사용자 계정도 권한 상승으로 간주될 수 있습니다. |
| 방어 회피 | V7, V9 | 방어 회피는 악의적 사용자가 탐지를 회피하거나 다른 방어를 피하기 위해 사용할 수 있는 기술로 구성됩니다. 때때로 이러한 작업은 특정 방어 또는 완화를 파괴하는 추가 이점이 있는 다른 범주의 기술과 동일(또는 변형)합니다. |
| 자격 증명 액세스 | V7, V9 | 자격 증명 액세스는 엔터프라이즈 환경 내에서 사용되는 시스템, 도메인 또는 서비스 자격 증명에 액세스하거나 제어하는 기술을 나타냅니다. 악의적 사용자는 네트워크 내에서 사용하기 위해 사용자 또는 관리자 계정(로컬 시스템 관리자 또는 관리자 액세스 권한이 있는 도메인 사용자)으로부터 합법적인 자격 증명을 얻으려고 시도할 가능성이 높습니다. 네트워크 내에 액세스 권한이 충분하면 악의적 사용자는 나중에 환경 내에서 사용할 계정을 만들 수 있습니다. |
| 검색 | V7, V9 | 검색은 악의적 사용자가 시스템과 내부 네트워크에 대한 정보를 얻을 수 있는 기술로 구성됩니다. 악의적 사용자가 새 시스템에 액세스할 수 있게 되면 현재 제어할 수 있는 것과 해당 시스템에서 운영하는 혜택이 침입 중에 현재 목표 또는 전반적인 목표에 주는 이점을 지향해야 합니다. 운영 체제는 이러한 타협 후 정보 수집 단계를 지원하는 많은 기본 도구를 제공합니다. |
| 측면 이동 | V7, V9 | 횡적 이동은 악의적 사용자가 네트워크의 원격 시스템에 액세스하고 제어할 수 있도록 하는 기술로 구성되며, 반드시 원격 시스템에서 도구를 실행할 필요는 없습니다. 악의적 사용자는 측면 이동 기술을 이용해 원격 액세스 도구와 같은 추가 도구가 없어도 시스템에서 정보를 수집할 수 있습니다. 악의적 사용자는 원격 도구 실행, 더 많은 시스템에 대한 피벗, 특정 정보 또는 파일에 대한 액세스, 더 많은 자격 증명에 대한 액세스 또는 영향을 주는 등 여러 가지 목적으로 횡적 이동을 사용할 수 있습니다. |
| 실행 | V7, V9 | 실행 기법은 로컬 또는 원격 시스템에서 악의적 사용자가 제어하는 코드를 실행하게 되는 기술을 나타냅니다. 이 전술은 종종 네트워크의 원격 시스템에 대한 액세스를 확장하기 위해 횡적 이동과 함께 사용됩니다. |
| 컬렉션 | V7, V9 | 수집은 반출 전에 대상 네트워크에서 민감한 파일과 같은 정보를 식별하고 수집하는 데 사용되는 기술로 구성됩니다. 이 범주는 악의적 사용자가 유출할 정보를 찾을 수 있는 시스템 또는 네트워크의 위치도 다룹니다. |
| 명령 및 제어. | V7, V9 | 명령 및 제어 기법은 악의적 사용자가 대상 네트워크 내에서 제어되는 시스템과 통신하는 방법을 나타냅니다. |
| 반출 | V7, V9 | 반출은 악의적 사용자가 대상 네트워크에서 파일과 정보를 이동하게 만들거나 이동하는 데 도움이 되는 기술과 특성을 의미합니다. 이 범주는 악의적 사용자가 유출할 정보를 찾을 수 있는 시스템 또는 네트워크의 위치도 다룹니다. |
| 영향 | V7, V9 | 영향 이벤트는 주로 시스템, 서비스 또는 네트워크의 가용성 또는 무결성을 직접 줄이려고 합니다. 비즈니스 또는 운영 프로세스에 영향을 미치는 데이터 조작을 포함합니다. 이 이벤트는 종종 랜섬웨어, 변조, 데이터 조작 등과 같은 기술을 가리킵니다. |
참고 항목
미리 보기에 있는 알림의 경우 Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.