보안 경고 관리 및 응답

클라우드용 Defender는 Azure, 하이브리드 및 다중 클라우드 리소스, 네트워크, 연결된 파트너 솔루션(예: 방화벽 및 엔드포인트 에이전트)에서 로그 데이터를 수집, 분석 및 통합합니다. 클라우드용 Defender는 로그 데이터를 사용하여 실제 위협을 감지하고 가양성 문제를 줄입니다. 우선 순위가 지정된 보안 경고 목록은 문제를 신속하게 조사하는 데 필요한 정보 및 공격을 해결하기 위해 수행해야 하는 단계와 함께 Cloud용 Defender에 표시됩니다.

이 문서에서는 클라우드용 Defender의 경고를 보고 처리하고 리소스를 보호하는 방법을 보여 줍니다.

보안 경고를 심사할 때는 경고 심각도에 따라 경고의 우선 순위를 지정하여 더 높은 심각도 경고를 먼저 해결해야 합니다. 경고를 분류하는 방법에 대해 자세히 알아봅니다.

Microsoft Sentinel을 비롯한 SIEM 솔루션에 클라우드용 Microsoft Defender 연결하고 선택한 도구에서 경고를 사용할 수 있습니다. SIEM, SOAR 또는 IT 서비스 관리 솔루션으로 경고를 스트리밍하는 방법에 대해 자세히 알아봅니다.

보안 경고 관리

  1. Azure Portal에 로그인합니다.

  2. 클라우드용 Microsoft Defender>보안 경고으로 이동합니다.

    Screenshot that shows the security alerts page from Microsoft Defender for Cloud's overview page.

  3. (선택 사항) 관련 필터를 사용하여 경고 목록을 필터링합니다. 필터 추가 옵션을 사용하여 추가 필터추가할 수 있습니다.

    Screenshot that shows you how to add filters to the alerts view.

    선택한 필터에 따라 목록이 업데이트됩니다. 예를 들어 시스템에서 잠재적인 위반을 조사하고 있으므로 지난 24시간 동안 발생한 보안 경고를 해결할 수 있습니다.

보안 경고 조사

각 경고에는 조사에 도움이 되는 경고에 대한 정보가 포함됩니다.

보안 경고를 조사하려면 다음을 수행합니다.

  1. 경고를 선택합니다. 사이드 창이 열리고 영향을 받는 모든 리소스 및 경고에 대한 설명이 표시됩니다.

    Screenshot of the high-level details view of a security alert.

  2. 보안 경고에 대한 개략적인 정보를 검토합니다.

    • 경고 심각도, 상태 및 활동 시간
    • 검색된 정확한 활동을 설명하는 설명
    • 영향을 받는 리소스
    • MITRE ATT&CK 매트릭스에서 작업의 체인 의도 종료(해당하는 경우)
  3. 전체 세부 정보 보기를 선택합니다.

    오른쪽 창에는 IP 주소, 파일, 프로세스 등 문제를 조사하는 데 도움이 되는 경고의 추가 세부 정보가 포함된 경고 세부 정보 탭이 포함되어 있습니다.

    Screenshot that shows the full details page for an alert.

    또한 오른쪽 창에는 작업 수행 탭이 있습니다. 보안 경고에 대한 추가 작업을 수행하려면 이 탭을 사용합니다. 작업은 다음과 같습니다.

    • 리소스 컨텍스트 검사 - 보안 경고를 지원하는 리소스의 활동 로그로 연결됩니다.
    • 위협 완화 - 이 보안 경고에 대한 수동 수정 단계를 제공합니다.
    • 향후 공격 방지 - 공격 노출 영역을 줄이고 보안 상태를 강화하여 향후 공격을 방지하는 데 도움이 되는 보안 권장 사항을 제공합니다.
    • 자동 응답 트리거 - 보안 경고에 대한 대응으로 논리 앱을 트리거하는 옵션을 제공합니다.
    • 유사한 경고 표시 안 함 - 경고가 조직과 관련이 없는 경우 유사한 특성을 가진 향후 경고를 표시하지 않는 옵션을 제공합니다.

    Screenshot that shows the options available in the Take action tab.

자세한 내용은 리소스 소유자에게 문의하여 검색된 활동이 가양성인지 확인합니다. 또한 공격받은 리소스에 의해 생성된 원시 로그를 조사할 수도 있습니다.

여러 보안 경고의 상태를 한 번에 변경

경고 목록에는 확인란이 포함되어 있으므로 한 번에 여러 경고를 처리할 수 있습니다. 예를 들어, 심사를 위해 특정 리소스에 대한 모든 정보 경고를 해제하기로 결정할 수 있습니다.

  1. 일괄 처리하려는 경고에 따라 필터링합니다.

    이 예제에서는 리소스 ASC-AKS-CLOUD-TALK 의 심각도가 Informational 있는 경고가 선택됩니다.

    Screenshot that shows how to filter alerts to show related alerts.

  2. 검사 상자를 사용하여 처리할 경고를 선택합니다.

    이 예제에서는 모든 경고가 선택됩니다. 이제 상태 변경 단추를 사용할 수 있습니다.

    Screenshot of selecting all alerts to handle in bulk.

  3. 상태 변경 옵션을 사용하여 원하는 상태를 설정합니다.

    Screenshot of the security alerts status tab.

현재 페이지에 표시된 경고의 상태 선택한 값으로 변경됩니다.

보안 경고에 대응

보안 경고를 조사한 후 클라우드용 Microsoft Defender 내에서 경고에 응답할 수 있습니다.

보안 경고에 응답하려면 다음을 수행합니다.

  1. 작업 수행 탭을 열어 권장 응답을 확인합니다.

    Screenshot of the security alerts take action tab.

  2. 문제를 완화하는 데 필요한 수동 조사 단계에 대한 위협 완화 섹션을 검토합니다.

  3. 리소스를 강화하고 이러한 종류의 향후 공격을 방지하려면 향후 공격 방지 섹션에서 보안 권장 사항을 수정합니다 .

  4. 자동화된 응답 단계를 사용하여 논리 앱을 트리거하려면 자동화된 응답 트리거 섹션을 사용하고 트리거 논리 앱을 선택합니다.

  5. 검색된 활동이 악의적이지 않은 경우 유사한 경고 표시 안 함 섹션을 사용하여 이러한 종류의 향후 경고를 표시하지 않고 제거 규칙 만들기를 선택할 수 있습니다.

  6. 전자 메일 알림 설정 구성을 선택하여 이 구독의 보안 경고와 관련된 전자 메일을 받는 사람을 확인합니다. 전자 메일 설정을 구성하려면 구독 소유자에게 문의하세요.

  7. 경고에 대한 조사를 완료하고 적절한 방식으로 응답한 경우 상태 해제됨으로 변경합니다.

    Screenshot of the alert's status drop down menu

    경고는 기본 경고 목록에서 제거됩니다. 경고 목록 페이지의 필터를 사용하여 해제된 상태 있는 모든 경고를 볼 수 있습니다.

  8. Microsoft에 경고에 대한 피드백을 제공하는 것이 좋습니다.

    1. 경고를 유용하거나 유용하지 않음으로 표시합니다.

    2. 이유를 선택하고 메모를 추가합니다.

      Screenshot of the provide feedback to Microsoft window that allows you to select the usefulness of an alert.

    피드백을 검토하여 알고리즘을 개선하고 더 나은 보안 경고를 제공합니다.

다양한 유형의 경고에 대해 알아보려면 보안 경고 - 참조 가이드를 참조하세요.

클라우드용 Defender가 경고를 생성하는 방법에 대한 개요는 클라우드용 Microsoft Defender가 위협을 검색하고 대응하는 방법을 참조하세요.

에이전트 없는 검사 결과 검토

에이전트 기반 스캐너와 에이전트 없는 스캐너 모두에 대한 결과가 보안 경고 페이지에 표시됩니다.

Screenshot of the security alerts page that shows the results of both the agent-based and agentless scan results.

참고 항목

이러한 경고 중 하나를 수정하면 다음 검사가 완료될 때까지 다른 경고가 수정되지 않습니다.

참고 항목

이 문서에서는 보안 경고를 보는 방법을 알아보았습니다. 관련 자료는 다음 페이지를 참조하세요.