Microsoft Defender XDR의 경고 및 인시던트
이제 클라우드용 Microsoft Defender가 Microsoft Defender XDR과 통합되었습니다. 이 통합을 통해 보안 팀은 Microsoft Defender 포털 내에서 클라우드용 Defender 경고 및 인시던트에 액세스할 수 있습니다. 이 통합은 클라우드 리소스, 디바이스 및 ID를 포괄하는 조사에 대한 보다 풍부한 컨텍스트를 제공합니다.
Microsoft Defender XDR과의 파트너 관계를 통해 보안 팀은 클라우드 환경에서 발생하는 의심스럽고 악의적인 이벤트를 포함하여 공격에 대한 전체 그림을 가져올 수 있습니다. 보안 팀은 경고와 인시던트의 즉각적인 상관 관계를 통해 이 목표를 달성할 수 있습니다.
Microsoft Defender XDR은 보호, 검색, 조사 및 응답 기능을 결합한 포괄적인 솔루션을 제공합니다. 이 솔루션은 디바이스, 이메일, 협업, ID 및 클라우드 앱에 대한 공격으로부터 보호합니다. 검색 및 조사 기능은 이제 클라우드 엔터티로 확장되어 보안 운영 팀에 단일 창을 제공하여 운영 효율성을 크게 개선합니다.
인시던트 및 경고는 이제 Microsoft Defender XDR의 공용 API의 일부입니다. 이 통합을 통해 단일 API를 사용하여 보안 경고 데이터를 모든 시스템으로 내보낼 수 있습니다. 클라우드용 Microsoft Defender는 사용자에게 가능한 최고의 보안 솔루션을 제공하기 위해 최선을 다하고 있으며, 이번 통합은 해당 목표를 달성하기 위한 중요한 단계입니다.
Microsoft Defender XDR 조사 환경
다음 표에서는 클라우드용 Defender 경고가 포함된 Microsoft Defender XDR의 검색 및 조사 환경에 대해 설명합니다.
| 영역 | 설명 |
|---|---|
| 인시던트 | 모든 클라우드용 Defender 인시던트는 Microsoft Defender XDR에 통합됩니다. - 인시던트 큐에서 클라우드 리소스 자산 검색이 지원됩니다. - 공격 사례 그래프에는 클라우드 리소스가 표시됩니다. - 인시던트 페이지의 자산 탭에는 클라우드 리소스가 표시됩니다. - 각 가상 머신에는 관련된 모든 경고 및 작업이 포함된 자체 엔터티 페이지가 있습니다. 다른 Defender 워크로드에서 발생한 인시던트는 중복되지 않습니다. |
| 경고 | 다중 클라우드, 내부 및 외부 공급자의 경고를 포함한 모든 클라우드용 Defender 경고는 Microsoft Defender XDR에 통합되어 있습니다. 클라우드용 Defender 경고는 Microsoft Defender XDR 경고 큐에 표시됩니다. Microsoft Defender XDR cloud resource 자산은 경고의 자산 탭에 표시됩니다. 리소스는 Azure, Amazon 또는 Google Cloud 리소스로 명확하게 식별됩니다. 클라우드용 Defender 경고는 자동으로 테넌트와 연결됩니다. 다른 Defender 워크로드의 경고는 중복되지 않습니다. |
| 경고 및 인시던트 상관 관계 | 경고와 인시던트는 자동으로 상호 관련되어 보안 운영 팀이 클라우드 환경의 전체 공격 스토리를 이해할 수 있도록 강력한 컨텍스트를 제공합니다. |
| 위협 감지 | 정밀하고 효과적인 위협 감지를 보장하기 위해 가상 엔터티와 디바이스 엔터티를 정확하게 일치시킵니다. |
| Unified API | 이제 클라우드용 Defender 경고 및 인시던트가 Microsoft Defender XDR의 공용 API에 포함되어 고객이 하나의 API를 사용하여 보안 경고 데이터를 다른 시스템으로 내보낼 수 있습니다. |
Microsoft Defender XDR의 경고 처리에 대해 자세히 알아봅니다.
Sentinel 고객
Microsoft Sentinel 고객은 Microsoft 365 Defender 인시던트 및 경고 커넥터를 사용하여 작업 영역에서 Microsoft 365 Defender와 클라우드용 Defender 통합의 이점을 활용할 수 있습니다.
먼저 Microsoft 365 Defender 커넥터에서 인시던트 통합을 사용하도록 설정해야 합니다.
그런 다음 Tenant-based Microsoft Defender for Cloud (Preview) 커넥터를 사용하여 구독을 테넌트 기반 클라우드용 Defender 인시던트와 동기화하여 Microsoft 365 Defender 인시던트 커넥터를 통해 스트리밍합니다.
커넥터는 콘텐츠 허브의 클라우드용 Microsoft Defender 솔루션 버전 3.0.0을 통해 사용할 수 있습니다. 이 솔루션의 이전 버전이 있는 경우 콘텐츠 허브에서 업그레이드할 수 있습니다.
레거시 구독 기반 클라우드용 Microsoft Defender 경고 커넥터가 사용하도록 설정된 경우(Subscription-based Microsoft Defender for Cloud (Legacy)로 표시됨) 로그에 경고가 중복되는 것을 방지하기 위해 커넥터 연결을 끊는 것이 좋습니다.
클라우드용 Defender 경고에서 인시던트를 만들지 못하도록 사용하도록 설정된(예약 또는 Microsoft 만들기 규칙을 통해) 분석 규칙을 사용하지 않도록 설정하는 것이 좋습니다.
자동화 규칙을 사용하여 인시던트를 즉시 종료하고 특정 형식의 클라우드용 Defender 경고가 인시던트가 되지 않도록 방지할 수 있습니다. Microsoft 365 Defender 포털에 기본 제공되는 튜닝 기능을 사용하여 경고가 발생하는 것을 방지할 수도 있습니다.
Microsoft 365 Defender 인시던트를 Sentinel에 통합하고 구독 기반 설정을 유지하고 테넌트 기반 동기화를 피하려는 고객은 Microsoft 365 Defender 커넥터를 통해 인시던트 및 경고 동기화를 옵트아웃할 수 있습니다.
클라우드용 Defender 및 Microsoft 365 Defender가 데이터 개인 정보를 처리하는 방법을 알아봅니다.