공격 경로 및 클라우드 보안 그래프 구성 요소의 참조 목록
이 문서에서는 Defender CSPM(Cloud Security Posture Management)에 사용되는 공격 경로, 연결 및 인사이트를 나열합니다.
- 공격 경로를 보려면 Defender CSPM을 사용하도록 설정해야 합니다.
- 사용자 환경에 표시되는 내용은 보호 중인 리소스 및 사용자 지정 구성에 따라 달라집니다.
클라우드 보안 그래프, 공격 경로 분석 및 클라우드 보안 탐색기에 대해 자세히 알아봅니다.
공격 경로
Azure VMs
필수 구성 요소: 필수 구성 요소 목록은 공격 경로에 대한 가용성 테이블을 참조하세요.
| 공격 경로 표시 이름 | 공격 경로 설명 |
|---|---|
| 인터넷에 노출된 VM은 고심각도 취약성이 있습니다. | 가상 머신은 인터넷에서 연결할 수 있으며 심각도 취약성이 높습니다. |
| 인터넷에 노출된 VM은 고심각도 취약성이 있으며 구독에 대한 높은 권한이 있습니다. | 가상 머신은 인터넷에서 연결할 수 있으며 심각도가 높으며 구독에 대한 ID 및 권한이 있습니다. |
| 인터넷에 노출된 VM은 고심각도 취약성이 있고 중요한 데이터가 있는 데이터 저장소에 대한 읽기 권한이 있습니다. | 가상 머신은 인터넷에서 연결할 수 있으며 심각도가 높으며 중요한 데이터가 포함된 데이터 저장소에 대한 읽기 권한이 있습니다. 필수 구성 요소: Defender CSPM의 스토리지 계정에 대해 데이터 인식 보안을 사용하도록 설정하거나 Microsoft Purview 데이터 카탈로그 활용하여 중요한 데이터를 보호합니다. |
| 인터넷에 노출된 VM은 고심각도 취약성이 있고 데이터 저장소에 대한 읽기 권한이 있습니다. | 가상 머신은 인터넷에서 연결할 수 있으며 심각도가 높고 데이터 저장소에 대한 읽기 권한이 있습니다. |
| 인터넷에 노출된 VM은 고심각도 취약성이 있고 Key Vault에 대한 읽기 권한이 있습니다. | 가상 머신은 인터넷에서 연결할 수 있으며 심각도가 높고 키 자격 증명 모음에 대한 읽기 권한이 있습니다. |
| VM은 고심각도 취약성이 있으며 구독에 대한 높은 권한이 있습니다. | 가상 머신은 심각도가 높고 구독에 대한 높은 권한을 가집니다. |
| VM은 고심각도 취약성이 있고 중요한 데이터가 있는 데이터 저장소에 대한 읽기 권한이 있습니다. | 가상 머신은 심각도가 높고 중요한 데이터가 포함된 데이터 저장소에 대한 읽기 권한이 있습니다. 필수 구성 요소: Defender CSPM의 스토리지 계정에 대해 데이터 인식 보안을 사용하도록 설정하거나 Microsoft Purview 데이터 카탈로그 활용하여 중요한 데이터를 보호합니다. |
| VM의 심각도 취약성이 높고 키 자격 증명 모음에 대한 읽기 권한이 있습니다. | 가상 머신의 심각도 취약성이 높고 키 자격 증명 모음에 대한 읽기 권한이 있습니다. |
| VM은 고심각도 취약성이 있고 데이터 저장소에 대한 읽기 권한이 있습니다. | 가상 머신은 심각도가 높고 데이터 저장소에 대한 읽기 권한이 있습니다. |
| 인터넷에 노출된 VM은 심각도가 높고 다른 VM에 인증할 수 있는 안전하지 않은 SSH 프라이빗 키가 있습니다. | Azure 가상 머신은 인터넷에서 연결할 수 있고 심각도가 높으며 다른 AWS EC2 인스턴스에 인증할 수 있는 일반 텍스트 SSH 프라이빗 키가 있습니다. |
| 인터넷에 노출된 VM은 심각도가 높고 SQL 서버에 인증하는 데 사용되는 안전하지 않은 비밀을 가지고 있습니다. | Azure 가상 머신은 인터넷에서 연결할 수 있고 심각도가 높으며 SQL 서버에 인증할 수 있는 일반 텍스트 SSH 프라이빗 키가 있습니다. |
| VM은 심각도가 높고 SQL Server에 인증하는 데 사용되는 안전하지 않은 비밀이 있습니다. | Azure 가상 머신은 심각도가 높고 SQL 서버에 인증할 수 있는 일반 텍스트 SSH 프라이빗 키가 있습니다. |
| VM의 심각도 취약성이 높고 스토리지 계정에 인증하는 데 사용되는 안전하지 않은 일반 텍스트 비밀이 있습니다. | Azure 가상 머신은 심각도가 높고 Azure Storage 계정에 인증할 수 있는 일반 텍스트 SSH 프라이빗 키가 있습니다. |
| 인터넷에 노출된 VM은 심각도가 높고 스토리지 계정에 인증하는 데 사용되는 안전하지 않은 비밀을 가지고 있습니다. | Azure 가상 머신은 인터넷에서 연결할 수 있고 심각도가 높으며 Azure Storage 계정에 인증할 수 있는 비밀이 있습니다. |
AWS EC2 인스턴스
선행 조건: 에이전트 없는 검사를 사용하도록 설정합니다.
| 공격 경로 표시 이름 | 공격 경로 설명 |
|---|---|
| 인터넷에 노출된 EC2 인스턴스는 고심각도 취약성이 있으며 계정에 대한 높은 권한이 있습니다. | AWS EC2 인스턴스는 인터넷에서 연결할 수 있으며 심각도가 높으며 계정에 대한 권한이 있습니다. |
| 인터넷에 노출된 EC2 인스턴스는 고심각도 취약성이 있으며 DB에 대한 읽기 권한이 있습니다. | AWS EC2 인스턴스는 인터넷에서 연결할 수 있으며 심각도가 높으며 데이터베이스에 대한 권한이 있습니다. |
| 인터넷에 노출된 EC2 인스턴스는 고심각도 취약성이 있으며 S3 버킷에 대한 읽기 권한이 있습니다. | AWS EC2 인스턴스는 인터넷에서 연결할 수 있고, 심각도가 높으며, IAM 정책 또는 버킷 정책을 통해 또는 IAM 정책과 버킷 정책을 통해 S3 버킷에 대한 사용 권한이 연결된 IAM 역할이 있습니다. |
| 인터넷에 노출된 EC2 인스턴스는 고심각도 취약성이 있으며 중요한 데이터가 있는 S3 버킷에 대한 읽기 권한이 있습니다. | AWS EC2 인스턴스는 인터넷에서 높은 심각도 취약성을 가지고 있으며 IAM 정책 또는 버킷 정책을 통해 또는 IAM 정책 및 버킷 정책을 통해 중요한 데이터를 포함하는 S3 버킷에 대한 권한과 함께 연결된 IAM 역할이 있습니다. 필수 구성 요소: Defender CSPM에서 S3 버킷에 대해 데이터 인식 보안을 사용하도록 설정하거나 Microsoft Purview 데이터 카탈로그 활용하여 중요한 데이터를 보호합니다. |
| 인터넷에 노출된 EC2 인스턴스는 고심각도 취약성이 있으며 KMS에 대한 읽기 권한이 있습니다. | AWS EC2 인스턴스는 인터넷에서 연결할 수 있고, 심각도가 높으며, IAM 정책을 통해 또는 AWS 키 관리 서비스(KMS) 정책을 통해 또는 IAM 정책과 AWS KMS 정책을 통해 AWS 키 관리 서비스(KMS)에 대한 권한과 연결된 IAM 역할이 있습니다. |
| 인터넷에 노출된 EC2는 고심각도 취약성이 있습니다. | AWS EC2 인스턴스는 인터넷에서 연결할 수 있으며 심각도 취약성이 높습니다. |
| 심각도가 높은 EC2 인스턴스에는 계정에 대한 높은 권한 있는 권한이 있습니다. | AWS EC2 인스턴스는 심각도가 높고 계정에 대한 권한이 있습니다. |
| 심각도가 높은 EC2 인스턴스에는 데이터 저장소에 대한 읽기 권한이 있습니다. | AWS EC2 인스턴스는 심각도가 높고 IAM 정책 또는 버킷 정책을 통해 또는 IAM 정책 및 버킷 정책을 통해 S3 버킷에 대한 권한으로 부여되는 IAM 역할이 연결되어 있습니다. |
| 심각도가 높은 EC2 인스턴스에는 중요한 데이터가 있는 데이터 저장소에 대한 읽기 권한이 있습니다. | AWS EC2 인스턴스는 심각도가 높으며 IAM 정책 또는 버킷 정책을 통해 또는 IAM 및 버킷 정책을 통해 중요한 데이터를 포함하는 S3 버킷에 대한 권한으로 부여되는 IAM 역할이 연결되어 있습니다. 필수 구성 요소: Defender CSPM에서 S3 버킷에 대해 데이터 인식 보안을 사용하도록 설정하거나 Microsoft Purview 데이터 카탈로그 활용하여 중요한 데이터를 보호합니다. |
| 심각도가 높은 EC2 인스턴스에는 KMS 키에 대한 읽기 권한이 있습니다. | AWS EC2 인스턴스는 심각도가 높으며 IAM 정책 또는 AWS 키 관리 서비스(KMS) 정책을 통해 또는 IAM 및 AWS KMS 정책을 통해 KMS(AWS 키 관리 서비스) 키에 대한 권한으로 부여되는 IAM 역할이 연결되어 있습니다. |
| 인터넷에 노출된 EC2 인스턴스에는 다른 AWS EC2 인스턴스에 인증할 수 있는 심각도가 높고 안전하지 않은 SSH 프라이빗 키가 있습니다. | AWS EC2 인스턴스는 인터넷에서 연결할 수 있고 심각도가 높으며 다른 AWS EC2 인스턴스에 인증할 수 있는 일반 텍스트 SSH 프라이빗 키가 있습니다. |
| 인터넷에 노출된 EC2 인스턴스는 심각도가 높고 RDS 리소스에 인증하는 데 사용되는 안전하지 않은 비밀을 가지고 있습니다. | AWS EC2 인스턴스는 인터넷에서 연결할 수 있고 심각도가 높으며 AWS RDS 리소스에 인증할 수 있는 일반 텍스트 SSH 프라이빗 키가 있습니다. |
| EC2 인스턴스는 심각도가 높고 RDS 리소스에 인증하는 데 사용되는 안전하지 않은 일반 텍스트 비밀이 있습니다. | AWS EC2 인스턴스는 심각도가 높고 AWS RDS 리소스에 인증할 수 있는 일반 텍스트 SSH 프라이빗 키가 있습니다. |
| 인터넷에 노출된 AWS EC2 인스턴스는 심각도가 높고 IAM 정책 또는 버킷 정책을 통해 또는 IAM 정책과 버킷 정책을 통해 S3 버킷에 대한 권한이 있는 안전하지 않은 비밀을 가지고 있습니다. | AWS EC2 인스턴스는 인터넷에서 연결할 수 있고, 심각도가 높으며, IAM 정책, 버킷 정책 또는 둘 다를 통해 S3 버킷에 대한 권한이 있는 안전하지 않은 비밀을 가지고 있습니다. |
GCP VM 인스턴스
| 공격 경로 표시 이름 | 공격 경로 설명 |
|---|---|
| 인터넷에 노출된 VM 인스턴스의 심각도 취약성이 높습니다. | GCP VM 인스턴스 '[VMInstanceName]'은 인터넷에서 연결할 수 있으며 심각도가 높은 취약성 [원격 코드 실행]이 있습니다. |
| 심각도가 높은 인터넷 노출 VM 인스턴스에는 데이터 저장소에 대한 읽기 권한이 있습니다. | GCP VM 인스턴스 '[VMInstanceName]'은 인터넷에서 연결할 수 있으며 심각도가 높고[원격 코드 실행]이 있으며 데이터 저장소에 대한 읽기 권한이 있습니다. |
| 심각도가 높은 인터넷 노출 VM 인스턴스에는 중요한 데이터가 있는 데이터 저장소에 대한 읽기 권한이 있습니다. | GCP VM 인스턴스 '[VMInstanceName]'은 인터넷에서 연결할 수 있으며, 심각도가 높아 컴퓨터에서 원격 코드를 실행할 수 있으며 중요한 데이터를 포함하는 GCP 스토리지 버킷 '[BucketName]'에 대한 읽기 권한이 있는 서비스 계정으로 할당됩니다. |
| 인터넷에 노출된 VM 인스턴스는 심각도가 높고 프로젝트에 대한 높은 사용 권한이 있습니다. | GCP VM 인스턴스 '[VMInstanceName]'은 인터넷에서 연결할 수 있으며 심각도 취약성[원격 코드 실행]이 높으며 '[ProjectName]' 프로젝트에 대한 '[권한]' 권한이 있습니다. |
| 심각도가 높은 인터넷 노출 VM 인스턴스에는 Secret Manager에 대한 읽기 권한이 있습니다. | GCP VM 인스턴스 '[VMInstanceName]'은 인터넷에서 연결할 수 있으며 심각도 취약성[원격 코드 실행]이 높으며 IAM 정책을 통해 GCP Secret Manager의 비밀 '[SecretName]'에 대한 읽기 권한이 있습니다. |
| 인터넷에 노출된 VM 인스턴스는 심각도가 높고 호스트된 데이터베이스가 설치되어 있습니다. | 호스트된 [DatabaseType] 데이터베이스가 있는 GCP VM 인스턴스 '[VMInstanceName]'은 인터넷에서 연결할 수 있으며 심각도 취약성이 높습니다. |
| 심각도가 높은 인터넷 노출 VM에 일반 텍스트 SSH 프라이빗 키가 있습니다. | GCP VM 인스턴스 '[MachineName]'은 인터넷에서 연결할 수 있으며 심각도가 높은 취약성[원격 코드 실행]이 있으며 일반 텍스트 SSH 프라이빗 키 [SSHPrivateKey]가 있습니다. |
| 심각도가 높은 VM 인스턴스에는 데이터 저장소에 대한 읽기 권한이 있습니다. | GCP VM 인스턴스 '[VMInstanceName]'에는 심각도가 높은 취약성[원격 코드 실행]이 있으며 데이터 저장소에 대한 읽기 권한이 있습니다. |
| 심각도가 높은 VM 인스턴스에는 중요한 데이터가 있는 데이터 저장소에 대한 읽기 권한이 있습니다. | GCP VM 인스턴스 '[VMInstanceName]'에는 심각도가 높은 취약성[원격 코드 실행]이 있으며 중요한 데이터를 포함하는 GCP 스토리지 버킷 '[BucketName]'에 대한 읽기 권한이 있습니다. |
| VM 인스턴스는 심각도가 높고 프로젝트에 대한 높은 사용 권한이 있습니다. | GCP VM 인스턴스 '[VMInstanceName]'에는 심각도가 높은 취약성[원격 코드 실행]이 있으며 '[ProjectName]' 프로젝트에 대한 '[권한]' 권한이 있습니다. |
| 심각도가 높은 VM 인스턴스에는 Secret Manager에 대한 읽기 권한이 있습니다. | GCP VM 인스턴스 '[VMInstanceName]'에는 심각도가 높은 취약성[원격 코드 실행]이 있으며, IAM 정책을 통해 GCP 비밀 관리자의 비밀 '[SecretName]'에 대한 읽기 권한이 있습니다. |
| 심각도가 높은 VM 인스턴스에는 일반 텍스트 SSH 프라이빗 키가 있습니다. | GCP VM 인스턴스는 다른 모든 공격 경로와 일치합니다. 가상 머신 '[MachineName]'에는 심각도가 높은 취약성[원격 코드 실행]이 있으며 일반 텍스트 SSH 프라이빗 키 [SSHPrivateKey]가 있습니다. |
Azure 데이터
| 공격 경로 표시 이름 | 공격 경로 설명 |
|---|---|
| 인터넷에 노출된 SQL on VM에는 일반적으로 사용되는 사용자 이름이 있는 사용자 계정이 있으며 VM에서 코드 실행을 허용합니다. | VM의 SQL은 인터넷에서 연결할 수 있고, 일반적으로 사용되는 사용자 이름(무차별 암호 대입 공격 가능성이 있음)이 있는 로컬 사용자 계정을 가지고 있으며, 코드 실행 및 기본 VM으로의 횡적 이동을 허용하는 취약성이 있습니다. 필수 구성 요소: 컴퓨터에서 SQL 서버용 Microsoft Defender 사용 |
| 인터넷에 노출된 SQL on VM에는 일반적으로 사용되는 사용자 이름이 있는 사용자 계정과 알려진 취약성이 있습니다. | VM의 SQL은 인터넷에서 연결할 수 있으며, 일반적으로 사용되는 사용자 이름(무차별 암호 대입 공격 가능성이 있음)이 있는 로컬 사용자 계정이 있으며 알려진 취약성(CVE)이 있습니다. 필수 구성 요소: 컴퓨터에서 SQL 서버용 Microsoft Defender 사용 |
| SQL on VM에는 일반적으로 사용되는 사용자 이름이 있는 사용자 계정이 있으며 VM에서 코드 실행을 허용합니다. | VM의 SQL에는 일반적으로 사용되는 사용자 이름(무차별 암호 대입 공격 가능성이 있음)이 있는 로컬 사용자 계정이 있으며 코드 실행 및 기본 VM으로의 횡적 이동을 허용하는 취약성이 있습니다. 필수 구성 요소: 컴퓨터에서 SQL 서버용 Microsoft Defender 사용 |
| SQL on VM에는 일반적으로 사용되는 사용자 이름이 있는 사용자 계정과 알려진 취약성이 있습니다. | VM의 SQL에는 일반적으로 사용되는 사용자 이름(무차별 암호 대입 공격 가능성이 있음)이 있는 로컬 사용자 계정이 있으며 알려진 취약성(CVE)이 있습니다. 필수 구성 요소: 컴퓨터에서 SQL 서버용 Microsoft Defender 사용 |
| 인터넷 노출이 과도한 관리되는 데이터베이스는 기본(로컬 사용자/암호) 인증을 허용합니다. | 데이터베이스는 공용 IP에서 인터넷을 통해 액세스할 수 있으며, 무차별 암호(기본 인증 메커니즘)를 사용하여 인증을 허용하여 DB를 무차별 암호 대입 공격에 노출합니다. |
| 과도한 인터넷 노출 및 중요한 데이터가 있는 관리되는 데이터베이스는 기본(로컬 사용자/암호) 인증(미리 보기)을 허용합니다. | 모든 공용 IP에서 인터넷을 통해 데이터베이스에 액세스할 수 있으며, 중요한 데이터가 있는 DB를 무차별 암호(기본 인증 메커니즘)를 사용하여 인증을 허용하여 무차별 암호 대입 공격에 노출합니다. |
| 중요한 데이터가 있는 인터넷에 노출된 관리되는 데이터베이스는 기본(로컬 사용자/암호) 인증(미리 보기)을 허용합니다. | 데이터베이스는 특정 IP 또는 IP 범위에서 인터넷을 통해 액세스할 수 있으며, 중요한 데이터가 있는 DB를 무차별 암호 공격에 노출하는 사용자 이름 및 암호(기본 인증 메커니즘)를 사용하여 인증할 수 있습니다. |
| 인터넷에 노출된 VM은 심각도가 높고 호스트된 데이터베이스가 설치되어 있습니다(미리 보기). | DB 컴퓨터에 대한 네트워크 액세스 권한이 있는 공격자는 취약성을 악용하고 원격 코드 실행을 얻을 수 있습니다. |
| 프라이빗 Azure Blob Storage 컨테이너는 인터넷에 노출되고 공개적으로 액세스할 수 있는 Azure Blob Storage 컨테이너에 데이터를 복제본(replica) | 내부 Azure Storage 컨테이너는 인터넷에서 연결할 수 있고 공용 액세스를 허용하는 다른 Azure Storage 컨테이너에 데이터를 복제본(replica) 이 데이터가 위험에 노출됩니다. |
| 중요한 데이터가 있는 인터넷에 노출된 Azure Blob Storage 컨테이너에 공개적으로 액세스할 수 있음 | 중요한 데이터가 있는 Blob Storage 계정 컨테이너는 인터넷에서 연결할 수 있으며 권한 부여 없이 공용 읽기 액세스를 허용합니다. 필수 구성 요소: Defender CSPM에서 스토리지 계정에 대한 데이터 인식 보안을 사용하도록 설정합니다. |
AWS 데이터
| 공격 경로 표시 이름 | 공격 경로 설명 |
|---|---|
| 중요한 데이터가 있고 인터넷에 노출된 AWS S3 버킷에는 공개적으로 액세스할 수 있습니다. | 중요한 데이터가 있는 S3 버킷은 인터넷에서 연결할 수 있으며 권한 부여 없이 공용 읽기 액세스를 허용합니다. 필수 구성 요소: Defender CSPM에서 S3 버킷에 대해 데이터 인식 보안을 사용하도록 설정하거나 Microsoft Purview 데이터 카탈로그 활용하여 중요한 데이터를 보호합니다. |
| EC2 인스턴스의 인터넷에 노출된 SQL에는 일반적으로 사용되는 사용자 이름을 가진 사용자 계정이 있으며 기본 컴퓨팅에서 코드 실행을 허용합니다. | EC2 인스턴스의 인터넷에 노출된 SQL에는 일반적으로 사용되는 사용자 이름을 가진 사용자 계정이 있으며 기본 컴퓨팅에서 코드 실행을 허용합니다. 선행 조건: 컴퓨터에서 Microsoft Defender for SQL 서버를 사용하도록 설정 |
| EC2 인스턴스의 인터넷에 노출된 SQL에는 일반적으로 사용되는 사용자 이름과 알려진 취약성이 있는 사용자 계정이 있습니다. | EC2 인스턴스의 SQL은 인터넷에서 연결할 수 있고, 일반적으로 사용되는 사용자 이름(무차별 암호 대입 공격 경향이 있음)이 있는 로컬 사용자 계정이 있으며 알려진 취약성(CVE)이 있습니다. 필수 구성 요소: 컴퓨터에서 SQL 서버용 Microsoft Defender 사용 |
| EC2 인스턴스의 SQL에는 일반적으로 사용되는 사용자 이름을 가진 사용자 계정이 있으며 기본 컴퓨팅에서 코드 실행을 허용합니다. | EC2 인스턴스의 SQL에는 일반적으로 사용되는 사용자 이름(무차별 암호 대입 공격 가능성이 있음)이 있는 로컬 사용자 계정이 있으며 코드 실행 및 기본 컴퓨팅으로의 횡적 이동을 허용하는 취약성이 있습니다. 필수 구성 요소: 컴퓨터에서 SQL 서버용 Microsoft Defender 사용 |
| EC2 인스턴스의 SQL에는 일반적으로 사용되는 사용자 이름과 알려진 취약성이 있는 사용자 계정이 있습니다. | EC2 인스턴스 [EC2Name]의 SQL에는 일반적으로 사용되는 사용자 이름(무차별 암호 대입 공격 가능성이 있음)이 있는 로컬 사용자 계정이 있으며 알려진 취약성(CVE)이 있습니다. 필수 구성 요소: 컴퓨터에서 SQL 서버용 Microsoft Defender 사용 |
| 인터넷 노출이 과도한 관리되는 데이터베이스는 기본(로컬 사용자/암호) 인증을 허용합니다. | 데이터베이스는 공용 IP에서 인터넷을 통해 액세스할 수 있으며, 무차별 암호(기본 인증 메커니즘)를 사용하여 인증을 허용하여 DB를 무차별 암호 대입 공격에 노출합니다. |
| 과도한 인터넷 노출 및 중요한 데이터가 있는 관리되는 데이터베이스는 기본(로컬 사용자/암호) 인증(미리 보기)을 허용합니다. | 모든 공용 IP에서 인터넷을 통해 데이터베이스에 액세스할 수 있으며, 중요한 데이터가 있는 DB를 무차별 암호(기본 인증 메커니즘)를 사용하여 인증을 허용하여 무차별 암호 대입 공격에 노출합니다. |
| 중요한 데이터가 있는 인터넷에 노출된 관리되는 데이터베이스는 기본(로컬 사용자/암호) 인증(미리 보기)을 허용합니다. | 데이터베이스는 특정 IP 또는 IP 범위에서 인터넷을 통해 액세스할 수 있으며, 중요한 데이터가 있는 DB를 무차별 암호 공격에 노출하는 사용자 이름 및 암호(기본 인증 메커니즘)를 사용하여 인증할 수 있습니다. |
| 인터넷에 노출된 EC2 인스턴스의 심각도 취약성이 높고 호스트된 데이터베이스가 설치됨(미리 보기) | DB 컴퓨터에 대한 네트워크 액세스 권한이 있는 공격자는 취약성을 악용하고 원격 코드 실행을 얻을 수 있습니다. |
| 프라이빗 AWS S3 버킷은 인터넷에 노출되고 공개적으로 액세스할 수 있는 AWS S3 버킷에 데이터를 복제본(replica) | 내부 AWS S3 버킷은 데이터를 인터넷에서 연결할 수 있는 다른 S3 버킷에 복제본(replica) 공용 액세스를 허용하며 이 데이터가 위험에 노출됩니다. |
| RDS 스냅샷 모든 AWS 계정에서 공개적으로 사용할 수 있음(미리 보기) | RDS 인스턴스 또는 클러스터의 스냅샷 모든 AWS 계정에서 공개적으로 액세스할 수 있습니다. |
| EC2 인스턴스의 인터넷에 노출된 SQL에는 일반적으로 사용되는 사용자 이름을 가진 사용자 계정이 있으며 기본 컴퓨팅에서 코드 실행을 허용합니다(미리 보기). | EC2 인스턴스의 SQL은 인터넷에서 연결할 수 있고, 일반적으로 사용되는 사용자 이름(무차별 암호 대입 공격 가능성이 있음)이 있는 로컬 사용자 계정을 가지고 있으며, 코드 실행 및 기본 컴퓨팅으로의 횡적 이동을 허용하는 취약성이 있습니다. |
| EC2 인스턴스의 인터넷에 노출된 SQL에는 일반적으로 사용되는 사용자 이름과 알려진 취약성이 있는 사용자 계정이 있습니다(미리 보기). | EC2 인스턴스의 SQL은 인터넷에서 연결할 수 있고, 일반적으로 사용되는 사용자 이름(무차별 암호 대입 공격 가능성이 있음)이 있는 로컬 사용자 계정을 가지고 있으며 알려진 취약성(CVE)을 가지고 있습니다. |
| EC2 인스턴스의 SQL에는 일반적으로 사용되는 사용자 이름이 있는 사용자 계정이 있으며 기본 컴퓨팅에서 코드 실행을 허용합니다(미리 보기). | EC2 인스턴스의 SQL에는 일반적으로 사용되는 사용자 이름(무차별 암호 대입 공격 가능성이 있음)이 있는 로컬 사용자 계정이 있으며, 코드 실행 및 기본 컴퓨팅으로의 횡적 이동을 허용하는 취약성이 있습니다. |
| EC2 인스턴스의 SQL에는 일반적으로 사용되는 사용자 이름과 알려진 취약성이 있는 사용자 계정이 있습니다(미리 보기). | EC2 인스턴스의 SQL에는 일반적으로 사용되는 사용자 이름(무차별 암호 대입 공격 가능성이 있음)이 있는 로컬 사용자 계정이 있으며 알려진 취약성(CVE)이 있습니다. |
| 프라이빗 AWS S3 버킷은 인터넷에 노출되고 공개적으로 액세스할 수 있는 AWS S3 버킷에 데이터를 복제본(replica) | 프라이빗 AWS S3 버킷은 인터넷에 노출되고 공개적으로 액세스할 수 있는 AWS S3 버킷에 데이터를 복제본(replica). |
| 중요한 데이터가 있는 프라이빗 AWS S3 버킷은 인터넷에 노출되고 공개적으로 액세스할 수 있는 AWS S3 버킷에 데이터를 복제본(replica)합니다. | 중요한 데이터가 있는 프라이빗 AWS S3 버킷은 인터넷에 노출되고 공개적으로 액세스할 수 있는 AWS S3 버킷에 데이터를 복제본(replica). |
| RDS 스냅샷 모든 AWS 계정에서 공개적으로 사용할 수 있음(미리 보기) | RDS 스냅샷 모든 AWS 계정에서 공개적으로 사용할 수 있습니다. |
GCP 데이터
| 공격 경로 표시 이름 | 공격 경로 설명 |
|---|---|
| 중요한 데이터가 있는 GCP 스토리지 버킷은 공개적으로 액세스할 수 있습니다. | 중요한 데이터가 있는 GCP 스토리지 버킷 [BucketName]은 권한 부여 없이 공용 읽기 액세스를 허용합니다. |
Azure 컨테이너
필수 구성 요소: 에이전트 없는 컨테이너 상태를 사용하도록 설정합니다. 또한 보안 탐색기에서 컨테이너 데이터 평면 워크로드를 쿼리할 수 있습니다.
| 공격 경로 표시 이름 | 공격 경로 설명 |
|---|---|
| 인터넷에 노출된 Kubernetes Pod가 RCE 취약성이 있는 컨테이너를 실행하고 있습니다. | 네임스페이스에서 인터넷에 노출된 Kubernetes Pod가 원격 코드 실행을 허용하는 취약성이 있는 이미지를 사용하여 컨테이너를 실행하고 있습니다. |
| 인터넷에 노출된 노드에서 실행 중인 Kubernetes Pod는 RCE 취약성이 있는 컨테이너를 실행하는 호스트 네트워크를 사용합니다. | 호스트 네트워크 액세스가 활성화된 네임스페이스의 Kubernetes Pod는 호스트 네트워크를 통해 인터넷에 노출됩니다. Pod는 원격 코드 실행을 허용하는 취약성이 있는 이미지를 사용하여 컨테이너를 실행합니다. |
GitHub 리포지토리
필수 구성 요소: DevOps용 Defender를 사용하도록 설정합니다.
| 공격 경로 표시 이름 | 공격 경로 설명 |
|---|---|
| 일반 텍스트 비밀을 사용하여 인터넷에 노출된 GitHub 리포지토리에 공개적으로 액세스할 수 있음(미리 보기) | GitHub 리포지토리는 인터넷에서 연결할 수 있으며, 권한 부여 없이 공용 읽기 액세스를 허용하고, 일반 텍스트 비밀을 보유합니다. |
API
필수 구성 요소: API용 Defender를 사용하도록 설정합니다.
| 공격 경로 표시 이름 | 공격 경로 설명 |
|---|---|
| 인증되지 않은 인터넷에 노출된 API는 중요한 데이터를 전달합니다. | Azure API Management API는 인터넷에서 연결할 수 있고, 중요한 데이터를 포함하며, 인증을 사용하도록 설정되지 않은 경우 공격자가 데이터 반출을 위해 API를 악용합니다. |
클라우드 보안 그래프 구성 요소 목록
이 섹션에서는 클라우드 보안 탐색기를 사용하여 쿼리에 사용할 수 있는 모든 클라우드 보안 그래프 구성 요소(연결 및 인사이트)를 나열합니다.
Insights
| 인사이트 | 설명 | 지원되는 엔터티 |
|---|---|---|
| 인터넷에 노출됨 | 리소스가 인터넷에 노출됨을 나타냅니다. 포트 필터링을 지원합니다. 자세한 정보 | Azure 가상 머신, AWS EC2, Azure Storage 계정, Azure SQL Server, Azure Cosmos DB, AWS S3, Kubernetes Pod, Azure SQL Managed Instance, Azure MySQL 단일 서버, Azure MySQL 유연한 서버, Azure PostgreSQL 단일 서버, Azure PostgreSQL 유연한 서버, Azure MariaDB 단일 서버, Synapse 작업 영역, RDS 인스턴스, GCP VM 인스턴스, GCP SQL 인스턴스 관리자 |
| 기본 인증 허용(미리 보기) | 리소스가 기본(로컬 사용자/암호 또는 키 기반) 인증을 허용한다는 것을 나타냅니다. | Azure SQL Server, RDS 인스턴스, Azure MariaDB 단일 서버, Azure MySQL 단일 서버, Azure MySQL 유연한 서버, Synapse 작업 영역, Azure PostgreSQL 단일 서버, Azure SQL Managed Instance |
| 중요한 데이터 포함 필수 구성 요소: Defender CSPM의 스토리지 계정에 대해 데이터 인식 보안을 사용하도록 설정하거나 Microsoft Purview 데이터 카탈로그 활용하여 중요한 데이터를 보호합니다. |
리소스에 중요한 데이터가 포함되어 있음을 나타냅니다. | MDC 중요한 데이터 검색: Azure Storage 계정, Azure Storage 계정 컨테이너, AWS S3 버킷, Azure SQL Server(미리 보기), Azure SQL Database(미리 보기), RDS 인스턴스(미리 보기), RDS 인스턴스 데이터베이스(미리 보기), RDS 클러스터(미리 보기) Purview 중요한 데이터 검색(미리 보기): Azure Storage 계정, Azure Storage 계정 컨테이너, AWS S3 버킷, Azure SQL Server, Azure SQL Database, Azure Data Lake Storage Gen2, Azure Database for PostgreSQL, Azure Database for MySQL, Azure Synapse Analytics, Azure Cosmos DB 계정, GCP 클라우드 스토리지 버킷 |
| 데이터를 (미리 보기)로 이동 | 리소스가 데이터를 다른 리소스로 전송한다는 것을 나타냅니다. | 스토리지 계정 컨테이너, AWS S3, AWS RDS 인스턴스, AWS RDS 클러스터 |
| 데이터 가져오기(미리 보기) | 리소스가 다른 리소스에서 해당 데이터를 가져오고 있음을 나타냅니다. | 스토리지 계정 컨테이너, AWS S3, AWS RDS 인스턴스, AWS RDS 클러스터 |
| 태그 있음 | 클라우드 리소스의 리소스 태그를 나열합니다. | 모든 Azure, AWS 및 GCP 리소스 |
| 설치된 소프트웨어 | 컴퓨터에 설치된 모든 소프트웨어를 나열합니다. 이 인사이트는 클라우드용 Defender 위협 및 취약성 관리 통합되고 클라우드용 Defender 연결된 VM에만 적용됩니다. | Azure 가상 머신, AWS EC2 |
| 공용 액세스를 허용함 | 권한 부여 없이 리소스에 대한 공용 읽기 액세스가 허용됨을 나타냅니다. 자세한 정보 | Azure Storage 계정, AWS S3 버킷, GitHub 리포지토리, GCP 클라우드 스토리지 버킷 |
| MFA를 사용하도록 설정되어 있지 않음 | 사용자 계정에 다단계 인증 솔루션을 사용하도록 설정되어 있지 않음을 나타냄 | Microsoft Entra 사용자 계정, IAM 사용자 |
| 외부 사용자임 | 사용자 계정이 조직의 도메인 외부에 있음을 나타냄 | Microsoft Entra 사용자 계정 |
| 관리됨 | 클라우드 공급자가 ID를 관리한다는 것을 나타냄 | Azure 관리 ID |
| 일반적인 사용자 이름이 포함됨 | SQL Server에 무차별 암호 대입 공격이 발생하기 쉬운 일반적인 사용자 이름을 가진 사용자 계정이 있음을 나타냅니다. | SQL VM, Arc 지원 SQL VM |
| 호스트에서 코드를 실행할 수 있음 | SQL Server가 xp_cmdshell 같은 기본 제공 메커니즘을 사용해 기본 VM에서 코드를 실행할 수 있음을 나타냅니다. | SQL VM, Arc 지원 SQL VM |
| 취약성이 있음 | 리소스 SQL Server에 취약성이 감지되었음을 나타냅니다. | SQL VM, Arc 지원 SQL VM |
| DEASM 결과 | DEASM(Microsoft Defender 외부 공격 표면 관리) 인터넷 검색 결과 | 공용 IP |
| 권한 있는 컨테이너 | Kubernetes 컨테이너가 권한 있는 모드에서 실행됨을 나타냄 | Kubernetes 컨테이너 |
| 호스트 네트워크를 사용함 | Kubernetes Pod가 호스트 컴퓨터의 네트워크 네임스페이스를 사용함을 나타냄 | Kubernetes Pod |
| 고심각도 취약성이 있음 | 리소스에 고심각도 취약성이 있음을 나타냄 | Azure VM, AWS EC2, 컨테이너 이미지, GCP VM 인스턴스 |
| 원격 코드 실행에 취약 | 리소스에 원격 코드 실행을 허용하는 취약성이 있음을 나타냄 | Azure VM, AWS EC2, 컨테이너 이미지, GCP VM 인스턴스 |
| 공용 IP 메타데이터 | 공용 IP의 메타데이터를 나열합니다. | 공용 IP |
| ID 메타데이터 | ID의 메타데이터를 나열합니다. | Microsoft Entra ID |
연결
| Connection | 설명 | 원본 엔터티 형식 | 대상 엔터티 형식 |
|---|---|---|---|
| 다음으로 인증할 수 있음 | Azure 리소스가 ID에 인증하고 해당 권한을 사용할 수 있음을 나타냄 | Azure VM, Azure VMSS, Azure Storage 계정, Azure App Services, SQL Server | Microsoft Entra 관리 ID |
| 에 대한 권한이 있음 | ID에 리소스 또는 리소스 그룹에 대한 권한이 있음을 나타냄 | Microsoft Entra 사용자 계정, 관리 ID, IAM 사용자, EC2 인스턴스 | 모든 Azure 및 AWS 리소스 |
| 포함 | 원본 엔터티에 대상 엔터티가 포함되어 있음을 나타냄 | Azure 구독, Azure 리소스 그룹, AWS 계정, Kubernetes 네임스페이스, Kubernetes Pod, Kubernetes 클러스터, GitHub 소유자, Azure DevOps 프로젝트, Azure DevOps 조직, Azure SQL Server, RDS 클러스터, RDS 인스턴스, GCP 프로젝트, GCP 폴더, GCP 조직 | 모든 Azure, AWS 및 GCP 리소스, 모든 Kubernetes 엔터티, 모든 DevOps 엔터티, Azure SQL 데이터베이스, RDS 인스턴스, RDS 인스턴스 데이터베이스 |
| 트래픽을 다음으로 라우팅 | 원본 엔터티가 네트워크 트래픽을 대상 엔터티로 라우팅할 수 있음을 나타냄 | 공용 IP, Load Balancer, VNET, 서브넷, VPC, Internet Gateway, Kubernetes 서비스, Kubernetes Pod | Azure VM, Azure VMSS, AWS EC2, 서브넷, Load Balancer, 인터넷 게이트웨이, Kubernetes Pod, Kubernetes 서비스, GCP VM 인스턴스, GCP 인스턴스 그룹 |
| 실행 되고 있음 | 원본 엔터티가 대상 엔터티를 프로세스로 실행하고 있음을 나타냄 | Azure VM, EC2, Kubernetes 컨테이너 | SQL, Arc 지원 SQL, 호스트된 MongoDB, 호스트된 MySQL, 호스트된 Oracle, 호스트된 PostgreSQL, 호스트된 SQL Server, 컨테이너 이미지, Kubernetes Pod |
| 멤버 | 원본 ID가 대상 ID 그룹의 구성원임을 나타냄 | Microsoft Entra 그룹, Microsoft Entra 사용자 | Microsoft Entra 그룹 |
| 유지 관리함 | 원본 Kubernetes 엔터티가 대상 Kubernetes 엔터티의 수명 주기를 관리한다는 것을 나타냄 | Kubernetes 워크로드 컨트롤러, Kubernetes 복제본 세트, Kubernetes 상태 저장 세트, Kubernetes 디먼 세트, Kubernetes 작업, Kubernetes cron 작업 | Kubernetes Pod |