클라우드용 Defender-새로운 기능 아카이브

2025-07-14

이 페이지에서는 6개월보다 오래된 기능, 수정 및 사용 중단에 대한 정보를 제공합니다. 최신 업데이트는 클라우드용 Defender 새로운 기능?을 참조하세요.

February 2025

Date	Category	Update
February 27	Change	향상된 AWS EC2 리소스 이름 표시
February 27	GA	Microsoft Defender for Storage에서 주문형 맬웨어 검색
February 27	GA	최대 50 GB의 블롭에 대한 Defender for Storage 맬웨어 검사
February 23	Preview	AKS 런타임 컨테이너에 대한 컨테이너 레지스트리에 구애받지 않는 에이전트 없는 취약성 평가(미리 보기)
February 23	Preview	데이터 및 AI 보안 대시보드(미리 보기)
February 19	Preview	MDC 비용 계산기(미리 보기)
February 19	Preview	31 새롭고 향상된 다중 클라우드 규제 표준 적용 범위

향상된 AWS EC2 리소스 이름 표시

2025년 2월 27일

변경 예상 날짜: 2025년 3월

플랫폼에서 AWS EC2 인스턴스에 대한 리소스 이름을 표시하는 방법을 향상하고 있습니다. If an EC2 instance has a "name" tag defined, the Resource Name field will now display the value of that tag. If no "name" tag is present, the Resource Name field will continue to show the instance ID as before. The Resource ID will still be available in the Resource ID field for reference.

EC2 "name" 태그를 사용하면 ID 대신 사용자 지정 의미 있는 이름으로 리소스를 쉽게 식별할 수 있습니다. 이렇게 하면 특정 인스턴스를 더 빠르게 찾고 관리할 수 있으므로 인스턴스 세부 정보를 검색하거나 상호 참조하는 데 소요되는 시간과 노력이 줄어듭니다.

Microsoft Defender for Storage에서 주문형 맬웨어 검색

2025년 2월 27일

현재 GA에 있는 Microsoft Defender for Storage의 주문형 맬웨어 검색을 사용하면 필요할 때마다 Azure Storage 계정에서 기존 Blob을 검색할 수 있습니다. 검사를 Azure Portal UI 또는 REST API를 통해 시작하여 Logic Apps, Automation 플레이북 및 PowerShell 스크립트를 통한 자동화를 지원할 수 있습니다. 이 기능은 모든 검사에 대한 최신 맬웨어 정의가 있는 Microsoft Defender 바이러스 백신 사용하고 검사하기 전에 Azure Portal에서 초기 비용 추정을 제공합니다.

Use cases:

Incident response: Scan specific storage accounts after detecting suspicious activity.
Security baseline: Scan all stored data when first enabling Defender for Storage.
Compliance: Set automation to schedule scans that help meet regulatory and data protection standards.

자세한 내용은 주문형 맬웨어 검사를 참조 하세요.

최대 50GB의 Blob에 대한 Defender for Storage 맬웨어 검사

2025년 2월 27일

이제 Defender for Storage 맬웨어 검색은 최대 50GB 크기의 Blob을 지원합니다(이전에는 2GB로 제한됨).

큰 Blob이 업로드되는 스토리지 계정의 경우 Blob 크기 제한이 증가하면 월별 요금이 높아집니다.

예기치 않은 높은 요금을 방지하려면 월별 검색된 총 GB에 적절한 한도를 설정할 수 있습니다. 자세한 내용은 업로드 중인 맬웨어 검사에 대한 비용 제어를 참조 하세요.

AKS 런타임 컨테이너에 대한 컨테이너 레지스트리에 구애받지 않는 에이전트 없는 취약성 평가(미리 보기)

2025년 2월 23일

Defender for Containers 및 Defender for Cloud Security Posture Management(CSPM) 계획에는 이제 AKS 런타임 컨테이너에 대한 컨테이너 레지스트리에 구애받지 않는 에이전트 없는 취약성 평가가 포함됩니다. 이 향상된 기능은 AKS 클러스터에서 실행되는 Kubernetes 추가 기능 및 타사 도구를 검색하는 것 외에도 모든 레지스트리(지원되는 레지스트리로 제한되지 않음)의 이미지가 포함된 실행 중인 컨테이너를 포함하도록 취약성 평가 범위를 확장합니다. 이 기능을 사용하도록 설정하려면 Defender for Cloud 환경 설정에서 구독에 대해 에이전트 없는 컴퓨터 검사를 사용하도록 설정해야 합니다.

데이터 및 AI 보안 대시보드(미리 보기)

2025년 2월 23일

클라우드용 Defender 미리 보기의 새 데이터 및 AI 보안 대시보드에 AI 보안을 포함하도록 데이터 보안 대시보드를 강화하고 있습니다. 대시보드는 관련 위험 및 보호 상태와 함께 데이터 및 AI 리소스를 모니터링하고 관리하는 중앙 집중식 플랫폼을 제공합니다.

데이터 및 AI 보안 대시보드의 주요 이점은 다음과 같습니다.

Unified view: Gain a comprehensive view of all organizational data and AI resources.
Data insights: Understand where your data is stored and the types of resources holding it.
Protection coverage: Assess the protection coverage of your data and AI resources.
Critical issues: Highlight resources that require immediate attention based on high-severity recommendations, alerts, and attack paths.
중요한 데이터 검색: 클라우드 및 AI 자산에서 중요한 데이터 리소스를 찾아 요약합니다.
AI workloads: Discover AI application footprints, including services, containers, data sets, and models.

데이터 및 AI 보안 대시보드에 대해 자세히 알아봅니다.

MDC 비용 계산기(미리 보기)

2025년 2월 19일

클라우드 환경 보호와 관련된 비용을 쉽게 예측할 수 있도록 새로운 MDC 비용 계산기를 도입하게 되어 기쁩니다. 이 도구는 비용을 명확하고 정확하게 이해할 수 있도록 조정되어 효과적으로 계획하고 예산을 책정할 수 있습니다.

비용 계산기를 사용하는 이유

비용 계산기는 보호 요구 사항의 범위를 정의할 수 있도록 하여 비용을 예측하는 프로세스를 간소화합니다. 사용하려는 환경 및 계획을 선택하면 계산기가 적용 가능한 할인을 포함하여 각 플랜에 대한 청구 가능한 리소스를 자동으로 채웁니다. 놀라움 없이 잠재적인 비용에 대한 포괄적인 개요가 제공됩니다.

Key Features:

Scope Definition: Select the plans and environments that interest you. 계산기는 검색 프로세스를 수행하여 환경당 각 계획에 대한 청구 가능한 단위 수를 자동으로 채웁니다.

자동 및 수동 조정: 이 도구를 사용하면 자동 데이터 수집과 수동 조정을 모두 수행할 수 있습니다. 단위 수량 및 할인 수준을 수정하여 변경 내용이 전체 비용에 미치는 영향을 확인할 수 있습니다.

포괄적인 비용 예측: 계산기는 각 계획에 대한 추정치와 총 비용 보고서를 제공합니다. 비용을 보다 쉽게 이해하고 관리할 수 있도록 비용에 대한 자세한 분석 정보를 제공합니다.

Multicloud Support: Our solution works for all supported clouds, ensuring that you get accurate cost estimations regardless of your cloud provider.

내보내기 및 공유: 비용 예측이 있으면 예산 계획 및 승인을 위해 쉽게 내보내고 공유할 수 있습니다.

31 새롭고 향상된 다중 클라우드 규제 표준 적용 범위

2025년 2월 19일

Azure, AWS 및 GCP에서 클라우드용 Defender 31개 이상의 보안 및 규제 프레임워크에 대한 향상된 지원과 확장된 지원을 발표하게 되어 기쁩니다. 이 향상된 기능은 규정 준수를 달성하고 유지 관리하는 경로를 간소화하고, 데이터 위반의 위험을 줄이며, 벌금 및 평판 손상을 방지하는 데 도움이 됩니다.

새로운 향상된 프레임워크는 다음과 같습니다.

Standards	Clouds
EU 2022 2555(NIS2) 2022	Azure, AWS, GCP
EU GDPR(일반 데이터 보호 규정) 2016 679	Azure, AWS, GCP
NIST CSF v2.0	Azure, AWS, GCP
NIST 800 171 Rev3	Azure, AWS, GCP
NIST SP 800 53 R5.1.1	Azure, AWS, GCP
PCI DSS v4.0.1	Azure, AWS, GCP
CIS AWS Foundations v3.0.0	AWS
CIS Azure Foundations v2.1.0	Azure
CIS 컨트롤 v8.1	Azure, AWS, GCP
CIS GCP Foundations v3.0	GCP
HITRUST CSF v11.3.0	Azure, AWS, GCP
SOC 2023	Azure, AWS, GCP
SWIFT 고객 보안 컨트롤 프레임워크 2024	Azure, AWS, GCP
ISO IEC 27001:2022	Azure, AWS, GCP
ISO IEC 27002:2022	Azure, AWS, GCP
ISO IEC 27017:2015	Azure, AWS, GCP
CMMC(사이버 보안 완성 모델 인증) 수준 2 v2.0	Azure, AWS, GCP
AWS Well Architected Framework 2024	AWS
캐나다 연방 PBMM 3.2020	Azure, AWS, GCP
APRA CPS 234 2019	Azure, AWS
CSA Cloud Controls Matrix v4.0.12	Azure, AWS, GCP
Cyber Essentials v3.1	Azure, AWS, GCP
형사 사법 정보 서비스 보안 정책 v5.9.5	Azure, AWS, GCP
FFIEC CAT 2017	Azure, AWS, GCP
브라질 LGPD(일반 데이터 보호법) 2018	Azure
NZISM v3.7	Azure, AWS, GCP
사베인 옥슬리 법 2022 (SOX)	Azure, AWS
NCSC CAF(Cyber Assurance Framework) v3.2	Azure, AWS, GCP

이는 몇 달 전의 CIS AKS(Azure Kubernetes Service) v1.5, CIS GKE(Google Kubernetes Engine) v1.6 및 CIS Amazon Elastic Kubernetes Service(EKS) v.15의 최근 릴리스에 합류합니다.

클라우드용 Defender 규정 준수 제품에 대한 자세한 내용은>

January 2025

Date	Category	Update
January 30	GA	컨테이너 레지스트리에 대한 검사 조건으로 업데이트
January 29	Change	MDVM에서 제공하는 컨테이너 취약성 평가 검사에 대한 향상된 기능
January 27	GA	AI 플랫폼을 지원하기 위해 GCP 커넥터에 추가된 권한
January 20	Change	GC에서 제공하는 Linux 기준 권장 사항의 향상된 기능

컨테이너 레지스트리 스캔 기준 업데이트

2025년 1월 30일

We are updating one of the scan criteria for registry images in the preview recommendation for registry images across all clouds and external registries (Azure, AWS, GCP, Docker, JFrog).

What's Changing?

현재 레지스트리에 푸시된 후 90일 동안 이미지를 다시 검사합니다. 이제 30일 후 스캔하도록 변경됩니다.

Note

레지스트리 이미지의 VA(컨테이너 취약성 평가)에 대한 관련 GA 권장 사항은 변경되지 않습니다.

MDVM에서 제공하는 컨테이너 취약성 평가 검사에 대한 향상된 기능

2025년 1월 29일

다음 업데이트를 사용하여 컨테이너 취약성 평가 검사 검사 범위에 대한 향상된 기능을 발표하게 되어 기쁩니다.

추가 프로그래밍 언어: 이제 PHP, Ruby 및 Rust를 지원합니다.
확장된 Java 언어 지원: 폭발된 JAR에 대한 검사를 포함합니다.
메모리 사용량 향상: 큰 컨테이너 이미지 파일을 읽을 때 성능이 최적화되었습니다.

AI 플랫폼을 지원하기 위해 GCP 커넥터에 추가된 권한

2025년 1월 27일

이제 GCP 커넥터에 GCP AI 플랫폼(꼭짓점 AI)을 지원할 수 있는 추가 권한이 있습니다.

aiplatform.batchPredictionJobs.list
aiplatform.customJobs.list
aiplatform.datasets.list
aiplatform.datasets.get
aiplatform.endpoints.getIamPolicy
aiplatform.endpoints.list
aiplatform.indexEndpoints.list
aiplatform.indexes.list
aiplatform.models.list
aiplatform.models.get
aiplatform.pipelineJobs.list
aiplatform.schedules.list
aiplatform.tuningJobs.list
discoveryengine.dataStores.list
discoveryengine.documents.list
discoveryengine.engines.list
notebooks.instances.list

GC가 지원하는 Linux 기준 권장 사항에 대한 향상 사항

2025년 1월 20일

GC로 구동되는 Baselines Linux 기능의 정확성과 적용 범위를 향상시키고 있습니다. 2월에는 업데이트된 규칙 이름 및 추가 규칙과 같은 변경 내용을 확인할 수 있습니다. 이러한 개선 사항은 기준 평가를 보다 정확하고 최신 상태로 만들도록 설계되었습니다. For more information about the changes, please refer to the relevant blog

일부 변경 내용에는 추가 "공개 미리 보기" 변경 내용이 포함될 수 있습니다. 이 업데이트는 사용자에게 도움이 되며 사용자에게 계속 알려 드립니다. 원하는 경우 리소스에서 제외하거나 GC 확장을 제거하여 이 권장 사항을 옵트아웃할 수 있습니다.

December 2024

Date	Category	Update
December 31	GA	기존 클라우드 커넥터의 검사 간격 변경
December 22	GA	FIM(파일 무결성 모니터링) 환경을 받으려면 엔드포인트용 Microsoft Defender 클라이언트 버전 업데이트가 필요합니다.
December 17	Preview	인기 있는 CI/CD 도구와 클라우드용 Defender CLI 통합
December 10	GA	클라우드용 Defender 설정 환경
December 10	GA	클라우드 환경의 Defender for Cloud 스캔을 위한 변경된 주기 옵션
December 17	GA	이제 민감도 검사 기능에 Azure 파일 공유가 포함됩니다.

기존 클라우드 커넥터의 검사 간격 변경

2024년 12월 31일

이달 초, 클라우드 환경을 스캔하기 위한 수정된 클라우드용 Defender 간격 옵션에 대한 업데이트가 게시되었습니다. 검색 간격 설정은 클라우드용 Defender 검색 서비스가 클라우드 리소스를 검색하는 빈도를 결정합니다. 이러한 변경은 보다 균형 잡힌 검사 프로세스를 보장하고, 성능을 최적화하며, API 제한에 도달할 위험을 최소화합니다.

기존 AWS 및 GCP 클라우드 커넥터에 대한 검사 간격 설정이 업데이트되어 Defender for Cloud가 클라우드 환경을 효과적으로 검색할 수 있도록 합니다.

다음과 같은 조정이 수행됩니다.

현재 1~3시간 사이에 설정된 간격은 4시간으로 업데이트됩니다.
5시간으로 설정된 간격은 6시간으로 업데이트됩니다.
7~11시간으로 설정된 간격은 12시간으로 업데이트됩니다.
13시간 이상의 간격은 24시간으로 업데이트됩니다.

다른 검사 간격을 선호하는 경우 환경 설정 페이지를 사용하여 클라우드 커넥터를 조정할 수 있습니다. 이러한 변경 내용은 2025년 2월 초에 모든 고객에게 자동으로 적용되며 추가 조치가 필요하지 않습니다.

이제 민감도 검사 기능에 Azure 파일 공유가 포함됩니다.

2024년 12월 17일

클라우드용 Defender CSPM(Security Posture Management) 민감도 검사 기능에는 이제 Blob 컨테이너 외에도 GA의 Azure 파일 공유가 포함됩니다.

이 업데이트 전에 구독에서 Defender CSPM 계획을 사용하도록 설정하면 스토리지 계정 내의 Blob 컨테이너에서 중요한 데이터를 자동으로 검색합니다. 이 업데이트를 통해 Defender for CSPM의 민감도 검사 기능에는 이제 해당 스토리지 계정 내의 파일 공유가 포함됩니다. 이 향상된 기능은 중요한 스토리지 계정의 위험 평가 및 보호를 개선하여 잠재적 위험에 대한 보다 포괄적인 분석을 제공합니다.

Learn more about sensitivity scanning.

클라우드용 Defender 설정 환경

2024년 12월 10일

설치 환경을 사용하면 클라우드 인프라, 코드 리포지토리 및 외부 컨테이너 레지스트리와 같은 클라우드 환경을 연결하여 클라우드용 Microsoft Defender 초기 단계를 시작할 수 있습니다.

클라우드 환경의 설정을 안내하고, 고급 보안 계획으로 자산을 보호하고, 빠른 작업을 손쉽게 수행하여 대규모 보안 범위를 늘리고, 연결 문제를 인식하고, 새로운 보안 기능에 대한 알림을 받습니다. 설정을 선택하여 클라우드용 Defender 메뉴에서 새 환경으로 탐색할 수 있습니다.

Defender for Cloud의 클라우드 환경 검사에 대한 수정된 간격 옵션

2024년 12월 10일

AWS, GCP, Jfrog 및 DockerHub와 연결된 클라우드 커넥터에 대한 검색 간격 옵션이 수정되었습니다. 검색 간격 기능을 사용하면 클라우드용 Defender 클라우드 환경의 검사를 시작하는 빈도를 제어할 수 있습니다. 클라우드 커넥터를 추가하거나 편집할 때 검색 간격을 4, 6, 12 또는 24시간으로 설정할 수 있습니다. 새 커넥터에 대한 기본 검사 간격은 12시간입니다.

FIM(파일 무결성 모니터링) 환경을 받으려면 엔드포인트용 Microsoft Defender 클라이언트 버전 업데이트가 필요합니다.

June, 2025

2025년 6월부터 FIM(파일 무결성 모니터링)에는 최소 MDE(Defender for Endpoint) 클라이언트 버전이 필요합니다. Windows: 10.8760, Linux: 30.124082의 경우 클라우드용 Microsoft Defender FIM 환경의 혜택을 계속 받으려면 최소한 다음 클라이언트 버전이 필요한지 확인하세요. Learn more

November 2024

Date	Category	Update
November 28	Preview	민감도 검사 기능에는 이제 Azure 파일 공유(미리 보기)가 포함됩니다.
November 26	Change	민감도 레이블 동의 변경
November 26	Change	민감도 레이블 변경
November 25	Preview	최대 50 GB의 블롭에 대한 Defender for Storage 맬웨어 검사
November 19	Preview	관리되는 Kubernetes 환경 및 새 권장 사항에 대한 CIS 표준의 업데이트된 버전
November 19	Preview	고급 헌팅에서 Kubernetes 클라우드 프로세스 이벤트의 공개 미리 보기
November 19	Deprecation	취약성 관리 BYOL(Bring Your Own License) 기능 사용 중단
November 19	Preview	클라우드용 Microsoft Defender 에이전트 없는 코드 검색
November 19	Preview	Microsoft Defender for Storage에서 주문형 맬웨어 검사(미리 보기)
November 18	Preview	Defender for Containers의 JFrog Artifactory 컨테이너 레지스트리 지원
November 18	GA	이제 AI 보안 태세 관리 일반 공급(GA)
November 18	GA	클라우드용 Microsoft Defender 중요한 자산 보호
November 18	GA	컨테이너에 대한 향상된 중요 자산 보호
November 18	GA	컨테이너 위협을 감지하고 대응하는 향상된 기능
November 15	Preview	Defender CSPM 내 API 보안 상태 관리 네이티브 통합은 현재 공개 미리 보기로 제공됩니다.
November 13	Preview	AKS 노드에 대한 취약성 평가 및 맬웨어 검색을 사용하여 향상된 컨테이너 보호
November 7	GA	향상된 Kubernetes(K8s) 경고 설명서 및 시뮬레이션 도구
November 6	GA	API 중요한 데이터 분류에 대한 향상된 지원
November 6	Public Preview	Azure API Management API 엔드포인트를 백 엔드 컴퓨팅에 매핑하기 위한 새로운 지원
November 6	GA	다중 지역 Azure API Management 배포 및 API 수정 버전 관리에 대한 향상된 API 보안 지원

민감도 검사 기능에는 이제 Azure 파일 공유(미리 보기)가 포함됩니다.

2024년 11월 28일

클라우드용 Defender CSPM(Security Posture Management) 민감도 검사 기능에는 이제 Blob 컨테이너 외에도 Azure 파일 공유(미리 보기)가 포함됩니다.

Learn more about sensitivity scanning.

2024년 11월 26일

Microsoft 365 Defender 포털 또는 Microsoft Purview 포털에 구성된 사용자 지정 정보 유형 및 민감도 레이블의 이점을 활용하려면 더 이상 "레이블" 페이지의 "정보 보호" 섹션에서 전용 동의 단추를 선택할 필요가 없습니다.

이 변경으로 모든 사용자 지정 정보 유형 및 민감도 레이블이 자동으로 클라우드용 Microsoft Defender 포털로 가져옵니다.

데이터 민감도 설정에 대해 자세히 알아봅니다.

민감도 레이블 변경

2024년 11월 26일

최근까지 클라우드용 Defender 다음 두 조건을 충족하는 Microsoft 365 Defender 포털에서 모든 민감도 레이블을 가져왔습니다.

범위가 "항목 - 파일" 또는 "항목 ->> 전자 메일"로 설정된 민감도 레이블은 Information Protection 섹션의 "레이블 범위 정의" 섹션 아래에 있습니다.
민감도 레이블에는 자동 레이블 지정 규칙이 구성되어 있습니다.

2024년 11월 26일부터 Microsoft 365 Defender 포털과 Microsoft Purview 포털 모두에서 UI(사용자 인터페이스)의 민감도 레이블 범위 이름이 업데이트되었습니다. 이제 클라우드용 Defender "파일 및 기타 데이터 자산" 범위가 적용된 민감도 레이블만 가져옵니다. 클라우드용 Defender 더 이상 "이메일" 범위가 적용된 레이블을 가져오지 않습니다.

Note

이 변경이 발생하기 전에 "항목 -> 파일"로 구성된 레이블은 새 "파일 및 기타 데이터 자산" 범위로 자동으로 마이그레이션됩니다.

민감도 레이블을 구성하는 방법에 대해 자세히 알아봅니다.

최대 50GB의 Blob에 대한 Defender for Storage 맬웨어 검사(미리 보기)

2024년 11월 25일

변경 예상 날짜: 2024년 12월 1일

2024년 12월 1일부터 Storage용 Defender 맬웨어 검색은 최대 50GB 크기의 Blob을 지원합니다(이전에는 2GB로 제한됨).

큰 Blob이 업로드되는 스토리지 계정의 경우 Blob 크기 제한이 증가하면 월별 요금이 높아집니다.

관리되는 Kubernetes 환경 및 새 권장 사항에 대한 CIS 표준의 업데이트된 버전

2024년 11월 19일

클라우드용 Defender 규정 준수 대시보드는 이제 관리되는 Kubernetes 환경의 보안 상태를 평가하기 위한 CIS(인터넷 보안 센터) 표준의 업데이트된 버전을 제공합니다.

대시보드에서 AWS/EKS/GKE Kubernetes 리소스에 다음 표준을 할당할 수 있습니다.

CIS AKS(Azure Kubernetes Service) v1.5.0
CIS GKE(Google Kubernetes Engine) v1.6.0
CIS Amazon Elastic Kubernetes Service(EKS) v1.5.0

이러한 표준에 가장 적합한 범위의 범위를 보장하기 위해 79개의 새로운 Kubernetes 중심 권장 사항도 릴리스하여 적용 범위를 보강했습니다.

이러한 새 권장 사항을 사용하려면 위에 나열된 표준을 할당하거나 사용자 지정 표준을 만들고 하나 이상의 새 평가를 포함합니다.

고급 헌팅에서 Kubernetes 클라우드 프로세스 이벤트의 공개 미리 보기

고급 헌팅에서 Kubernetes 클라우드 프로세스 이벤트의 미리 보기 릴리스를 발표합니다. 이 강력한 통합은 다중 클라우드 환경에서 발생하는 Kubernetes 프로세스 이벤트에 대한 자세한 정보를 제공합니다. 이를 사용하여 클라우드 인프라에서 호출된 악의적인 프로세스와 같은 프로세스 세부 정보를 통해 관찰할 수 있는 위협을 검색할 수 있습니다. For more information, see CloudProcessEvents.

취약성 관리 BYOL(Bring Your Own License) 기능 사용 중단

2024년 11월 19일

변경 예상 날짜:

2025년 2월 3일: 이 기능은 더 이상 새 컴퓨터 및 구독을 온보딩하는 데 사용할 수 없습니다.
2025년 5월 1일: 이 기능은 완전히 사용되지 않으며 더 이상 사용할 수 없습니다.

클라우드용 Defender 보안 환경을 개선하기 위한 노력의 일환으로 취약성 평가 솔루션을 간소화하고 있습니다. 클라우드용 Defender "Bring Your Own License" 기능을 제거하고 있습니다. 이제 보다 원활하고 통합되고 완전한 솔루션을 위해 Microsoft 보안 노출 관리 커넥터를 사용합니다.

Microsoft 보안 노출 관리 내에서 새 커넥터 솔루션으로 전환하는 것이 좋습니다. 우리 팀은 이러한 전환을 통해 당신을 지원하기 위해 여기에 있습니다.

커넥터 사용에 대한 자세한 내용은 Microsoft 보안 노출 관리 - Microsoft 보안 노출 관리에서 데이터 원본 연결 개요를 참조 하세요.

클라우드용 Microsoft Defender 에이전트 없는 코드 검색(미리 보기)

2024년 11월 19일

이제 클라우드용 Microsoft Defender 에이전트 없는 코드 검색을 공개 미리 보기로 사용할 수 있습니다. 하나의 커넥터를 사용하여 Azure DevOps 조직의 모든 리포지토리에 대해 빠르고 확장 가능한 보안을 제공합니다. 이 솔루션은 보안 팀이 Azure DevOps 환경에서 코드 및 IaC(Infrastructure as code) 구성의 취약성을 찾아 수정하는 데 도움이 됩니다. 에이전트, 파이프라인 변경 또는 개발자 워크플로 중단이 필요하지 않으므로 설정 및 유지 관리가 간단합니다. CI/CD(연속 통합 및 지속적인 배포) 파이프라인과 독립적으로 작동합니다. 이 솔루션은 지속적인 자동화된 인사이트를 제공하여 위험 검색 및 대응 속도를 향상시키고 워크플로를 중단하지 않고 보안을 보장합니다.

Use cases:

Organization-wide scanning: You can securely monitor all repositories in Azure DevOps organizations with one connector.
초기 취약성 검색: 사전 위험 관리를 위한 코드 및 IaC 위험을 빠르게 찾습니다.
지속적인 보안 인사이트: 생산성에 영향을 주지 않고 개발 주기 전반에 걸쳐 가시성을 유지하고 신속하게 대응합니다.

자세한 내용은 클라우드용 Microsoft Defender 에이전트 없는 코드 검색을 참조하세요.

Microsoft Defender for Storage에서 주문형 맬웨어 검사(미리 보기)

2024년 11월 19일

현재 공개 미리 보기로 제공된 Microsoft Defender for Storage의 주문형 맬웨어 검색을 사용하면 필요할 때마다 Azure Storage 계정에서 기존 Blob을 검색할 수 있습니다. 검사를 Azure Portal UI 또는 REST API를 통해 시작하여 Logic Apps, Automation 플레이북 및 PowerShell 스크립트를 통한 자동화를 지원할 수 있습니다. 이 기능은 모든 검사에 대한 최신 맬웨어 정의가 있는 Microsoft Defender 바이러스 백신 사용하고 검사하기 전에 Azure Portal에서 초기 비용 추정을 제공합니다.

Use cases:

Incident response: Scan specific storage accounts after detecting suspicious activity.
Security baseline: Scan all stored data when first enabling Defender for Storage.
Compliance: Set automation to schedule scans that help meet regulatory and data protection standards.

자세한 내용은 주문형 맬웨어 검사를 참조 하세요.

Defender for Containers의 JFrog Artifactory 컨테이너 레지스트리 지원(미리 보기)

2024년 11월 18일

이 기능은 외부 레지스트리의 Microsoft Defender for Containers 범위를 확장하여 JFrog Artifactory를 포함합니다. JFrog Artifactory 컨테이너 이미지는 Microsoft Defender 취약성 관리를 사용하여 스캔되어 보안 위협을 식별하고 잠재적인 보안 위험을 완화합니다.

이제 AI 보안 태세 관리 일반 공급(GA)

2024년 11월 18일

Defender for Cloud의 인공지능 보안 상태 관리 기능이 이제 일반 출시되었습니다.

클라우드용 Defender는 다음을 통해 클라우드 AI 워크로드 간 위험을 줄입니다.

Code to Cloud의 애플리케이션 구성 요소, 데이터, AI 아티팩트를 포함하는 생성형 AI BOM(AI 제품 구성 정보)을 발견합니다.
기본 제공된 권장 사항을 사용하고 보안 위험을 탐색 및 수정하여 생성형 AI 애플리케이션 보안 태세를 강화합니다.
공격 경로 분석을 사용하여 위험을 식별하고 수정합니다.

AI 보안 태세 관리에 대해 자세히 알아봅니다.

클라우드용 Microsoft Defender 중요한 자산 보호

2024년 11월 18일

오늘 클라우드용 Microsoft Defender 중요 자산 보호의 일반 공급에 대해 발표하게 되어 기쁩니다. 이 기능을 사용하면 보안 관리자가 조직에 가장 중요한 "크라운 보석" 리소스에 태그를 지정할 수 있으므로 클라우드용 Defender 이러한 자산에 대해 가장 높은 수준의 보호를 제공하고 이러한 자산에 대한 보안 문제의 우선 순위를 지정할 수 있습니다. 중요한 자산 보호에 대해 자세히 알아봅니다.

일반 공급 릴리스와 함께 Kubernetes 및 비인간 ID 리소스에 태그를 지정하기 위한 지원도 제공합니다.

컨테이너에 대한 향상된 중요 자산 보호

2024년 11월 18일

컨테이너에 대한 추가 사용 사례를 지원하도록 중요한 자산 보호 가 확장됩니다.

이제 사용자는 Kubernetes 네임스페이스 및/또는 자산 Kubernetes 레이블에 따라 Kubernetes(워크로드, 컨테이너 등)에서 관리하는 자산을 중요로 표시하는 사용자 지정 규칙을 만들 수 있습니다.

다른 중요한 자산 보호 사용 사례와 마찬가지로 클라우드용 Defender 위험 우선 순위 지정, 공격 경로 분석 및 보안 탐색기에 대한 자산 중요도를 고려합니다.

컨테이너 위협을 감지하고 대응하는 향상된 기능

2024년 11월 18일

클라우드용 Defender SOC 팀이 더 빠른 속도와 정밀도로 클라우드 네이티브 환경에서 컨테이너 위협에 대처할 수 있도록 하는 새로운 기능 모음을 제공합니다. 이러한 향상된 기능에는 위협 분석, GoHunt 기능, Microsoft Security Copilot 기반 응답 및 Kubernetes Pod에 대한 클라우드 네이티브 응답 작업이 포함됩니다.

Kubernetes Pod에 대한 클라우드 네이티브 응답 작업 소개(미리 보기)

이제 클라우드용 Defender Defender XDR 포털에서만 액세스할 수 있는 Kubernetes Pod에 대한 다중 클라우드 응답 작업을 제공합니다. 이러한 기능은 AKS, EKS 및 GKE 클러스터에 대한 인시던트 대응을 향상시킵니다.

다음은 새 응답 작업입니다.

Network Isolation - Instantly block all traffic to a pod, preventing lateral movement and data exfiltration. kubernetes 클러스터에서 네트워크 정책 구성이 필요합니다.

Pod Termination - Quickly terminate suspicious pods, stopping malicious activity without disrupting the broader application.

이러한 작업을 통해 SOC 팀은 클라우드 환경에서 위협을 효과적으로 억제할 수 있습니다.

컨테이너에 대한 위협 분석 보고서

컨테이너화된 환경을 대상으로 하는 위협에 대한 포괄적인 가시성을 제공하도록 설계된 전용 위협 분석 보고서를 소개합니다. 이 보고서는 SOC 팀에 AKS, EKS 및 GKE 클러스터의 최신 공격 패턴을 감지하고 대응하는 인사이트를 제공합니다.

Key Highlights:

Kubernetes 환경 내의 주요 위협 및 관련 공격 기술에 대한 자세한 분석입니다.
클라우드 네이티브 보안 태세를 강화하고 새로운 위험을 완화하기 위한 실행 가능한 권장 사항입니다.

Kubernetes Pod 및 Azure 리소스를 위한 GoHunt

이제 GoHunt는 Defender XDR 포털 내에 Kubernetes Pod 및 Azure 리소스를 포함하도록 헌팅 기능을 확장합니다. 이 기능은 자동 관리 위협 헌팅을 향상시켜 SOC 분석가가 클라우드 네이티브 워크로드에서 심층 조사를 수행할 수 있도록 합니다.

Key Features:

Kubernetes Pod 및 Azure 리소스에서 변칙을 검색하는 고급 쿼리 기능으로 위협 분석을 위한 보다 풍부한 컨텍스트를 제공합니다.
효율적인 위협 헌팅 및 조사를 위해 Kubernetes 엔터티와 원활하게 통합됩니다.

Kubernetes Pod를 위한 Security Copilot 단계별 대응

보안 부조종사에서 제공하는 기능인 Kubernetes Pod에 대한 안내된 응답을 소개합니다. 이 새로운 기능은 SOC 팀이 컨테이너 위협에 신속하고 효과적으로 대응할 수 있도록 실시간 단계별 지침을 제공합니다.

Key Benefits:

일반적인 Kubernetes 공격 시나리오에 맞게 조정된 상황별 응답 플레이북입니다.
보안 코파일럿의 전문가 실시간 지원은 지식 격차를 해소하고 더 빠른 문제 해결을 가능하게 합니다.

Defender CSPM 내 API 보안 상태 관리 네이티브 통합은 현재 공개 미리 보기로 제공됩니다.

2024년 11월 15일

이제 API 보안 상태 관리(미리 보기) 기능이 Defender CSPM 계획에 포함되며 환경 설정 페이지에서 계획 내의 확장을 통해 사용하도록 설정할 수 있습니다. 자세한 내용은 API 보안 상태 개선(미리 보기)을 참조하세요.

AKS 노드에 대한 취약성 평가 및 맬웨어 검색을 사용하여 향상된 컨테이너 보호(미리 보기)

2024년 11월 13일

이제 클라우드용 Defender AKS(Azure Kubernetes Service)의 노드에 대한 취약성 평가 및 맬웨어 검색을 제공하고, 관리되는 클라우드 공급자와의 공유 보안 책임에 대해 고객에게 명확하게 설명합니다.

이러한 Kubernetes 노드에 대한 보안 보호를 제공하면 고객은 관리되는 Kubernetes 서비스에서 보안 및 규정 준수를 유지할 수 있습니다.

새 기능을 받으려면 구독에서 Defender CSPM, Defender for Containers 또는 Defender for Servers P2 계획에서 머신에 대한 에이전트 없는 검사를 사용하도록 설정해야 합니다.

Vulnerability Assessment

이제 Azure Portal AKS nodes should have vulnerability findings resolved에서 새 권장 사항을 사용할 수 있습니다. 이 권장 사항을 통해 이제 AKS(Azure Kubernetes Service) 노드에 있는 취약성 및 CVE를 검토하고 수정할 수 있습니다.

Malware detection

에이전트 없는 맬웨어 검색 기능이 AKS 노드에서 맬웨어를 검색하면 새 보안 경고가 트리거됩니다.

에이전트 없는 맬웨어 검색은 Microsoft Defender 바이러스 백신 맬웨어 방지 엔진을 사용하여 악성 파일을 검사하고 검색합니다. 위협이 감지되면 보안 경고는 클라우드용 Defender 및 Defender XDR로 전달되며, 여기서 조사하고 수정할 수 있습니다.

Important

AKS 노드에 대한 맬웨어 검색은 Defender for Containers 또는 Defender for Servers P2 지원 환경에서만 사용할 수 있습니다.

향상된 Kubernetes(K8s) 경고 설명서 및 시뮬레이션 도구

2024년 11월 7일

Key features

시나리오 기반 경고 설명서: K8s 경고는 이제 실제 시나리오를 기반으로 문서화되어 잠재적 위협 및 권장 작업에 대한 보다 명확한 지침을 제공합니다.
MDE(엔드포인트용 Microsoft Defender) 통합: 경고는 MDE의 추가 컨텍스트 및 위협 인텔리전스로 보강되어 효과적으로 대응하는 기능을 향상합니다.
새 시뮬레이션 도구: 다양한 공격 시나리오를 시뮬레이션하고 해당 경고를 생성하여 보안 상태를 테스트하는 데 강력한 시뮬레이션 도구를 사용할 수 있습니다.

Benefits

향상된 경고 이해: 시나리오 기반 설명서는 K8s 경고에 대한 보다 직관적인 이해를 제공합니다.
향상된 위협 대응: 경고는 중요한 컨텍스트로 보강되어 더 빠르고 정확한 응답을 가능하게 합니다.
사전 보안 테스트: 새로운 시뮬레이션 도구를 사용하면 보안 방어를 테스트하고 악용되기 전에 잠재적인 취약성을 식별할 수 있습니다.

API 중요한 데이터 분류에 대한 향상된 지원

2024년 11월 6일

클라우드용 Microsoft Defender API 보안 중요한 데이터 분류 기능을 API URL 경로로 확장하고 API 속성에 있는 중요한 정보의 원본을 포함하여 API 요청 및 응답과 함께 쿼리 매개 변수를 확장합니다. This information will be available in the Attack Path Analysis experience, the Cloud Security Explorer's Additional Details page when API Management operations with sensitive data are selected, and on the API Security Dashboard under the Workload Protections within API collection details page, with a new side context menu that provides detailed insights into sensitive data found, enabling security teams efficiently locate and mitigate data exposure risks.

Note

이 변경 내용에는 기존 Defender for API 및 Defender CSPM 고객에게 일회성 롤아웃이 포함됩니다.

Azure API Management API 엔드포인트를 백 엔드 컴퓨팅에 매핑하기 위한 새로운 지원

2024년 11월 6일

클라우드용 Defender API 보안 태세는 이제 Azure API Management 게이트웨이를 통해 게시된 API 엔드포인트를 Defender CSPM(Defender CSPM) 클라우드 보안 탐색기에서 가상 머신과 같은 백 엔드 컴퓨팅 리소스에 매핑하도록 지원합니다. 이 가시성을 통해 백 엔드 클라우드 컴퓨팅 대상으로의 API 트래픽 라우팅을 식별하여 API 엔드포인트 및 연결된 백 엔드 리소스와 관련된 노출 위험을 감지하고 해결할 수 있습니다.

다중 지역 Azure API Management 배포 및 API 수정 버전 관리에 대한 향상된 API 보안 지원

2024년 11월 6일

클라우드용 Defender 내의 API 보안 적용 범위는 이제 기본 및 보조 지역 모두에 대한 전체 보안 상태 및 위협 탐지 지원을 포함하여 Azure API Management 다중 지역 배포를 완전히 지원합니다.

API를 Defender for API에 온보딩 및 오프보딩하면 이제 Azure API Management API 수준에서 관리됩니다. 연결된 모든 Azure API Management 수정 버전이 프로세스에 자동으로 포함되므로 각 API 수정 버전에 대한 온보딩 및 오프보딩을 개별적으로 관리할 필요가 없습니다.

이 변경 사항에는 기존 API용 Defender 고객에 대한 일회성 배포가 포함됩니다.

Rollout Details:

롤아웃은 기존 API용 Defender 고객을 위해 11월 6일 주에 수행됩니다.
Azure API Management API에 대한 '현재' 수정 버전이 Defender for API에 이미 온보딩된 경우 해당 API에 대한 모든 관련 수정 버전도 Defender for API에 자동으로 등록됩니다.
Azure API Management API에 대한 '현재' 수정 버전이 Defender for API에 온보딩되지 않은 경우 Defender for API에 온보딩된 모든 관련 API 수정 버전이 오프보딩됩니다.

October 2024

Date	Category	Update
October 31	Upcoming change	다중 지역 Azure API Management 배포 및 API 수정 버전 관리에 대한 향상된 API 보안 지원
October 28	GA	이제 MMA 마이그레이션 환경을 사용할 수 있습니다.
October 21	GA	GitHub Advanced Security가 없는 GitHub 리포지토리에 대한 보안 결과는 이제 GA입니다.
October 14	Upcoming change	세 가지 규정 준수 표준 사용 중단
October 14	Upcoming change	세 가지 클라우드용 Defender 표준 사용 중단
October 9	GA	GA로 릴리스된 이진 드리프트 감지
October 6	Preview	업데이트된 컨테이너 런타임 권장 사항
October 6	Preview	보안 그래프의 Kubernetes ID 및 액세스 정보
October 6	Preview	Kubernetes ID 및 액세스 정보 기반 공격 경로
October 6	GA	컨테이너에 대한 공격 경로 분석 개선
October 6	GA	지원되는 레지스트리에서 컨테이너 이미지의 전체 검색
October 6	GA	Cloud Security Explorer를 사용하는 컨테이너 소프트웨어 인벤토리

이제 MMA 마이그레이션 환경을 사용할 수 있습니다.

2024년 10월 28일

이제 2024년 11월 말에 예상되는 MMA(Log Analytics 에이전트) 사용 중단에 대해 모든 환경이 완전히 준비되었는지 확인할 수 있습니다.

클라우드용 Defender 영향을 받는 모든 환경에 대해 대규모로 조치를 취할 수 있는 새로운 환경을 추가했습니다.

서버용 Defender 플랜 2에서 제공하는 전체 보안 범위를 확보하는 데 필요한 필수 구성 요소가 누락되었습니다.
Log Analytics 작업 영역을 통해 레거시 온보딩 방법을 사용하여 서버용 Defender 플랜 2에 연결됩니다.
Log Analytics 에이전트(MMA)를 사용하는 이전 파일 무결성 모니터링(FIM) 버전은 새로운, 개선된 FIM 버전으로 마이그레이션하여 Microsoft Defender for Endpoint(MDE)를 사용해야 합니다.

새 MMA 마이그레이션 환경을 사용하는 방법을 알아봅니다.

GitHub Advanced Security가 없는 GitHub 리포지토리에 대한 보안 결과는 이제 GA입니다.

2024년 10월 21일

이제 GitHub Advanced Security가 없는 GitHub 리포지토리의 IaC(Infrastructure-as-code) 잘못된 구성, 컨테이너 취약성 및 코드 약점에 대한 보안 결과를 수신하는 기능이 일반 공급됩니다.

Note that secret scanning, code scanning using GitHub CodeQL, and dependency scanning still require GitHub Advanced Scanning.

필요한 라이선스에 대한 자세한 내용은 DevOps 지원 페이지를 참조 하세요. GitHub 환경을 클라우드용 Defender에 온보딩하는 방법을 알아보려면 GitHub 온보딩 가이드를 따릅니다. Microsoft 보안 DevOps GitHub Action을 구성하는 방법을 알아보려면 GitHub Action 설명서를 참조하세요.

세 가지 규정 준수 표준 사용 중단

2024년 10월 14일

예상 변경 날짜: 2024년 11월 17일

제품에서 다음 세 가지 규정 준수 표준이 제거됩니다.

SWIFT CSP-CSCF v2020(Azure용) - v2022 버전으로 대체되었습니다.
CIS Microsoft Azure Foundations Benchmark v1.1.0 및 v1.3.0 - 두 가지 최신 버전(v1.4.0 및 v2.0.0)을 사용할 수 있습니다.

클라우드용 Defender에서 사용 가능한 규정 준수 표준에 대해 자세히 알아보십시오.

세 가지 클라우드용 Defender 표준 사용 중단

2024년 10월 8일

예상 변경 날짜: 2024년 11월 17일

AWS 계정 및 GCP 프로젝트로 클라우드용 Defender 관리를 간소화하기 위해 다음 세 가지 클라우드용 Defender 표준을 제거합니다.

For AWS - AWS CSPM
For GCP - GCP CSPM and GCP Default

기본 표준인 MCSB(Microsoft Cloud Security Benchmark)에는 이제 이러한 표준에 고유한 모든 평가가 포함됩니다.

GA로 릴리스된 이진 드리프트 감지

2024년 10월 9일

이제 이진 드리프트 감지가 컨테이너용 Defender 플랜에서 GA로 릴리스되었습니다. 이진 드리프트 검색 기능이 이제 모든 AKS 버전에서 작동합니다.

업데이트된 컨테이너 런타임 권장 사항(미리 보기)

2024년 10월 6일

"AWS/Azure/GCP에서 실행되는 컨테이너에 취약성 발견이 해결되어야 함"에 대한 미리 보기 권장 사항은 동일한 워크로드의 일부인 모든 컨테이너를 단일 권장 사항으로 그룹화하여 중복을 줄이고 새 컨테이너 및 종료된 컨테이너로 인한 변동을 방지하도록 업데이트됩니다.

2024년 10월 6일부터 다음 평가 ID가 이러한 권장 사항으로 대체됩니다.

Recommendation	이전 평가 ID	새 평가 ID
--	--	--
Azure에서 실행되는 컨테이너에는 취약성 결과가 해결되어야 함	e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0	c5045ea3-afc6-4006-ab8f-86c8574dbf3d
AWS에서 실행되는 컨테이너에는 취약성 결과가 해결되어야 함	d5d1e526-363a-4223-b860-f4b6e710859f	8749bb43-cd24-4cf9-848c-2a50f632043c
GCP에서 실행되는 컨테이너의 취약점은 해결되어야 합니다.	c7c1d31d-a604-4b86-96df-63448618e165	1b3abfa4-9e53-46f1-9627-51f2957f8bba

현재 API를 통해 이러한 권장 사항에서 취약성 보고서를 검색하는 경우 새 평가 ID로 API 호출을 업데이트해야 합니다.

보안 그래프의 Kubernetes ID 및 액세스 정보(미리 보기)

2024년 10월 6일

Kubernetes ID 및 액세스 정보는 모든 Kubernetes RBAC(역할 기반 액세스 제어) 관련 엔터티(서비스 계정, 역할, 역할 바인딩 등)를 나타내는 노드와 Kubernetes 개체 간의 사용 권한을 나타내는 에지를 포함하여 보안 그래프에 추가됩니다. 이제 고객은 Kubernetes RBAC에 대한 보안 그래프와 Kubernetes 엔터티 간의 관련 관계(인증 가능, 가장 가능, 역할 부여, 액세스 정의, 액세스 부여, 권한 있음 등)를 쿼리할 수 있습니다.

Kubernetes ID 및 액세스 정보 기반 공격 경로(미리 보기)

2024년 10월 6일

보안 그래프에서 Kubernetes RBAC 데이터를 사용하여 클라우드용 Defender는 이제 Kubernetes, Kubernetes에서 클라우드로, 내부 Kubernetes 횡적 이동을 감지하고, 공격자가 Kubernetes 및 클라우드 권한 부여를 악용하여 Kubernetes 클러스터 내, 클러스터 간 또는 클러스터에서 클라우드로의 횡적 이동을 할 수 있는 다른 공격 경로를 보고합니다.

컨테이너에 대한 공격 경로 분석 개선

2024년 10월 6일

작년 11월에 릴리스된 새로운 공격 경로 분석 엔진 은 이제 컨테이너 사용 사례도 지원하며, 그래프에 추가된 데이터를 기반으로 클라우드 환경에서 새로운 유형의 공격 경로를 동적으로 검색합니다. 이제 컨테이너에 대한 더 많은 공격 경로를 찾고 공격자가 클라우드 및 Kubernetes 환경에 침투하는 데 사용하는 보다 복잡하고 정교한 공격 패턴을 검색할 수 있습니다.

지원되는 레지스트리에서 컨테이너 이미지의 전체 검색

2024년 10월 6일

이제 클라우드용 Defender 지원되는 레지스트리의 모든 컨테이너 이미지에 대한 인벤토리 데이터를 수집하여 현재 자세 권장 사항이 없는 이미지를 포함하여 클라우드 환경의 모든 이미지에 보안 그래프 내에서 전체 가시성을 제공합니다.

클라우드 보안 탐색기를 통한 쿼리 기능이 개선되어 이제 사용자가 메타데이터(다이제스트, 리포지토리, OS, 태그 등)를 기반으로 컨테이너 이미지를 검색할 수 있습니다.

Cloud Security Explorer를 사용하는 컨테이너 소프트웨어 인벤토리

2024년 10월 6일

이제 고객은 클라우드 보안 탐색기를 통해 컨테이너 및 컨테이너 이미지에 설치된 소프트웨어 목록을 가져올 수 있습니다. 이 목록을 사용하여 CVE를 게시하기 전에도 제로 데이 취약성의 영향을 받는 소프트웨어가 있는 모든 컨테이너 및 컨테이너 이미지를 찾는 등 고객 환경에 대한 다른 인사이트를 빠르게 얻을 수 있습니다.

September 2024

Date	Category	Update
September 22	Upcoming change	클라우드 보안 탐색기 환경 개선 사항
September 18	GA	엔드포인트용 Microsoft Defender 기반 파일 무결성 모니터링 일반 공급
September 18	GA	클라우드용 Defender에서 FIM 마이그레이션 환경 사용 가능
September 18	Deprecation	MMA 자동 프로비저닝 기능 사용 중단
September 15	GA	Power BI와 통합
September 11	Upcoming change	CSPM 멀티클라우드 네트워크 요구 사항 업데이트
September 9	Deprecation	서버용 Defender 기능 사용 중단
September 9	GA	Azure용 규정 준수 대시보드에 추가된 스페인어 국가 보안 인증 제도(Esquema Nacional de Seguridad(ENS))
September 8	GA	사용자 컴퓨터에서 시스템 업데이트 및 패치 권장 사항 수정
September 4	GA	이제 구성 준수 모듈이 ServiceNow 통합에 포함됩니다
September 4	Upcoming change	새 구독에 사용할 수 없는 스토리지용 Defender(클래식) 트랜잭션별 스토리지 보호 계획
September 1	GA	이제 Azure Policy 게스트 구성이 일반적으로 사용 가능합니다 (GA)
September 1	Preview	컨테이너용 Defender의 Docker Hub 컨테이너 레지스트리 지원에 대한 공개 미리 보기

클라우드 보안 탐색기 환경 개선 사항

2024년 9월 22일

변경 예상 날짜: 2024년 10월

클라우드 보안 탐색기는 성능 및 그리드 기능을 개선하고, 각 클라우드 자산에 더 많은 데이터 보강을 제공하고, 검색 범주를 개선하고, 내보낸 클라우드 자산에 대한 더 많은 인사이트를 사용하여 CSV 내보내기 보고서를 개선하도록 설정되었습니다.

엔드포인트용 Microsoft Defender 기반 파일 무결성 모니터링 일반 공급

2024년 9월 18일

이제 엔드포인트용 Microsoft Defender 기반 파일 무결성 모니터링의 새 버전은 서버용 Defender 플랜 2의 일부로서 GA입니다. FIM은 당신이 다음을 수행할 수 있도록 지원합니다.

중요한 파일 및 레지스트리를 실시간으로 모니터링하고 변경 내용을 감사하여 규정 준수 요구 사항을 충족합니다.
의심스러운 파일 콘텐츠 변경 내용을 검색하여 잠재적인 보안 문제를 식별합니다.

이 향상된 FIM 환경은 Log Analytics Agent(MMA) 사용 중지로 인해 사용 중단된 기존 환경을 대체합니다. MMA를 통한 FIM 환경은 2024년 11월 말까지 계속 지원됩니다.

이 릴리스에서는 MMA를 통한 FIM 구성을 엔드포인트용 Defender의 새 FIM 버전으로 마이그레이션할 수 있는 제품 내 환경을 제공합니다.

엔드포인트용 Defender를 통해 FIM을 사용하도록 설정하는 방법에 대한 자세한 내용을 확인하려면, 엔드포인트용 Microsoft Defender를 통한 파일 무결성 모니터링을 참조하세요. 이전 버전에서 파일 무결성 모니터링 마이그레이션을 참조하여 이전 버전을 사용하지 않도록 설정하는 방법에 대한 자세한 내용을 확인하세요.

클라우드용 Defender에서 FIM 마이그레이션 환경 사용 가능

2024년 9월 18일

MMA를 통한 FIM 구성을 엔드포인트용 Defender의 새 FIM 버전으로 마이그레이션할 수 있는 제품 내 환경이 제공됩니다. 이 환경으로 다음과 같은 사항을 수행 가능합니다.

MMA가 활성화된 이전 FIM 버전에서 영향을 받는 환경과 필요한 마이그레이션을 검토합니다.
현재 MMA 기반 환경에서 사용 중인 FIM 규칙을 내보내고 작업 영역에 저장합니다.
MDE를 통해 새 FIM을 사용하여 P2 사용 구독으로 마이그레이션합니다.

To use the migration experience, navigate to the Environment settings pane and select the MMA migration button in the upper row.

MMA 자동 프로비저전 기능 사용 중단

2024년 9월 18일 MMA 에이전트 사용 중지의 일환으로 MDC 고객을 위한 에이전트의 설치 및 구성을 제공하는 자동 프로비저닝 기능은 다음 두 단계로 더 이상 사용되지 않습니다.

2024년 9월 말까지 기능을 더 이상 사용하지 않는 고객 및 새로 만든 구독의 경우 MMA의 자동 프로비저닝이 비활성화됩니다. 9월 말 이후에는 해당 구독에서 이 기능을 더 이상 다시 사용하도록 설정할 수 없습니다.
2024년 11월 말- MMA의 자동 프로비저닝은 아직 해제되지 않은 구독에서 비활성화됩니다. 이 시점부터는 더 이상 기존 구독에서 기능을 활성화 할 수 없습니다.

Power BI와 통합

2024년 9월 15일

이제 클라우드용 Defender를 Power BI와 통합할 수 있습니다. 이 통합을 통해 클라우드용 Defender의 데이터를 사용하여 사용자 지정 보고서 및 대시보드를 만들 수 있습니다. Power BI를 사용하여 보안 상태, 규정 준수 및 보안 권장 사항을 시각화하고 분석할 수 있습니다.

Power BI와의 새로운 통합에 대해 자세히 알아보세요.

CSPM 멀티클라우드 네트워크 요구 사항 업데이트

2024년 9월 11일

변경 예상 날짜: 2024년 10월

2024년 10월부터 개선 사항을 수용하고 모든 사용자에게 보다 효율적인 환경을 보장하기 위해 다중 클라우드 검색 서비스에 더 많은 IP 주소를 추가하고 있습니다.

To ensure uninterrupted access from our services, you should update your IP allowlist with the new ranges provided here. 방화벽 설정, 보안 그룹 또는 환경에 적용할 수 있는 기타 구성을 필요한 조정해야 합니다. 이 목록은 CSPM 기본(무료) 제품의 모든 기능을 사용하기에 충분합니다.

서버용 Defender 기능 사용 중단

2024년 9월 9일

적응형 애플리케이션 제어와 적응형 네트워크 강화 모두 사용이 중단되었습니다.

Azure용 규정 준수 대시보드에 추가된 스페인어 국가 보안 인증 제도(Esquema Nacional de Seguridad(ENS))

2024년 9월 9일

Azure 환경에서 ENS 표준 준수 여부를 확인하고자 하는 조직은 앞으로 클라우드용 Defender 사용하여 확인할 수 있습니다.

ENS 표준은 스페인의 전체 공공 부문뿐만 아니라 행정부와 협업하는 공급업체에도 적용됩니다. 이 표준에는 전자 방식으로 처리되는 정보 및 서비스를 보호하기 위한 기본 원칙, 요구 사항 및 보안 조치가 정립되어 있습니다. 그 목표는 접근성, 기밀 유지, 무결성, 추적 가능성, 신뢰성, 가용성 및 데이터 보존을 보장하는 것입니다.

지원되는 준수 표준의 전체 목록을 확인하세요.

사용자 컴퓨터에서 시스템 업데이트 및 패치 권장 사항을 조치하세요.

2024년 9월 8일

이제 Azure Arc 지원 머신 및 Azure VM에서 시스템 업데이트와 패치 권장 사항을 수정할 수 있습니다. 시스템 업데이트와 패치는 컴퓨터의 보안 및 상태를 유지하는 데 매우 중요합니다. 해결하지 않고 둘 경우 공격자가 악용할 수 있는 취약성에 관한 보안 패치가 업데이트에 종종 포함됩니다.

앞으로는 누락된 컴퓨터 업데이트에 대한 정보가 Azure Update Manager를 사용하여 수집됩니다.

시스템 업데이트와 패치에 대한 컴퓨터의 보안을 유지하려면 컴퓨터에서 주기적인 평가 업데이트 설정을 사용하도록 설정해야 합니다.

사용자 컴퓨터에서 시스템 업데이트 및 패치 권장 사항 수정 방법을 알아보세요.

이제 구성 준수 모듈이 ServiceNow 통합에 포함됩니다

2024년 9월 4일

이제 ServiceNow의 구성 준수 모듈이 클라우드용 Defender CSPM 계획의 ServiceNow 통합에 포함됩니다. 클라우드 자산의 구성 문제를 식별, 우선 순위 지정 및 수정하는 동시에 보안 위험을 줄이고 자동화된 워크플로 및 실시간 인사이트를 통해 전반적인 규정 준수 상태를 개선하기 위해 이 기능을 사용할 수 있습니다.

ServiceNow와 클라우드용 Defender 통합에 대해 자세히 알아보세요.

새 구독에 사용할 수 없는 스토리지용 Defender(클래식) 트랜잭션별 스토리지 보호 계획

2024년 9월 4일

변경 예상 날짜: 2025년 2월 5일

2025년 2월 5일 이후에는 구독에 이미 활성화되어 있는 경우를 제외하고, 기존 스토리지용 Defender(클래식)의 트랜잭션별 스토리지 보호 계획을 활성화할 수 없습니다. 새로운 스토리지용 Defender 플랜 이동을 참조하여 자세한 내용을 확인하세요.

이제 Azure Policy 게스트 구성 일반 공급(GA)

2024년 9월 1일 일요일

이제 서버용 Defender의 Azure Policy 게스트 구성이 모든 다중 클라우드 Defender for Servers 플랜 2 고객에게 일반 출시(GA)되었습니다. 게스트 구성이 환경 전체에서 보안 기준을 관리하기 위한 통합된 환경을 제공합니다. 이를 통해 Windows 및 Linux 머신, GCP 인스턴스, AWS EC2 및 Azure VM을 포함하는 서버에서 보안 구성을 평가 및 적용이 가능해집니다.

사용자 환경에서 Azure Policy 머신 구성을 사용하도록 설정하는 방법을 알아봅니다.

Defender for Containers의 Docker Hub 컨테이너 레지스트리 지원에 대한 미리 보기

2024년 9월 1일 일요일

Docker Hub 컨테이너 레지스트리부터 시작하여 외부 레지스트리를 포함하도록 Microsoft Defender for Containers 적용 범위 확장의 공개 미리 보기를 소개합니다. Docker Hub 컨테이너 레지스트리에 대한 적용 범위를 조직의 Microsoft 클라우드 보안 태세 관리의 일부로서 확장하면 Microsoft Defender 취약성 관리를 사용하여 Docker Hub 컨테이너 이미지를 검사하여 보안 위협을 식별하고 잠재적인 보안 위험을 완화할 수 있는 이점이 있습니다.

Docker Hub에 대한 취약성 평가를 참조하여 이 기능에 대한 자세한 내용을 확인하세요.

August 2024

Date	Category	Update
August 28	Preview	새 버전의 엔드포인트용 Microsoft Defender 기반 파일 무결성 모니터링
August 22	Upcoming deprecation	Azure WAF 경고와 클라우드용 Defender 경고 통합 사용 중지
August 1	GA	컴퓨터에서 대규모로 Microsoft Defender for SQL 서버 사용

새 버전의 엔드포인트용 Microsoft Defender 기반 파일 무결성 모니터링

2024년 8월 28일

현재 새 버전의 엔드포인트용 Microsoft Defender 기반으로 하는 파일 무결성 모니터링이 공개 미리 보기로 제공됩니다. 서버용 Defender 플랜 2의 일부입니다. 다음과 같은 사항을 수행 가능합니다.

중요한 파일 및 레지스트리를 실시간으로 모니터링하고 변경 내용을 감사하여 규정 준수 요구 사항을 충족합니다.
의심스러운 파일 콘텐츠 변경 내용을 검색하여 잠재적인 보안 문제를 식별합니다.

이 릴리스의 일부로서, 더 이상 클라우드용 Defender 포털에서 AMA를 통한 FIM 환경을 사용할 수 없습니다. MMA를 통한 FIM 환경은 2024년 11월 말까지 계속 지원됩니다. 9월 초에 제품 내 환경이 출시될 예정이며, 이를 통해 새로운 Defender for Endpoint 버전의 FIM으로 기존 MMA를 통한 FIM 구성을 마이그레이션할 수 있습니다.

엔드포인트용 Defender를 통해 FIM을 사용하도록 설정하는 방법에 대한 자세한 내용을 확인하려면, 엔드포인트용 Microsoft Defender를 통한 파일 무결성 모니터링을 참조하세요. 이전 버전에서 마이그레이션하는 방법에 대한 자세한 내용을 확인하려면, 이전 버전에서 파일 무결성 모니터링 마이그레이션을 참조하세요.

Azure WAF 경고와 클라우드용 Defender 경고 통합 사용 중지

2024년 8월 22일

변경 예상 날짜: 2024년 9월 25일

Defender for Cloud alert integration with Azure WAF alerts will be retired on September 25, 2024. 어떤 조치도 필요하지 않습니다. For Microsoft Sentinel customers, you can configure the Azure Web Application Firewall connector.

컴퓨터에서 대규모로 Microsoft Defender for SQL 서버 사용

2024년 8월 1일

이제 컴퓨터에서 대규모로 Microsoft Defender for SQL 서버를 사용하도록 설정할 수 있습니다. 이 기능을 사용하면 한 번에 여러 서버에서 Microsoft Defender for SQL을 사용하도록 설정하여 시간과 노력을 절약할 수 있습니다.

컴퓨터에서 대규모로 Microsoft Defender for SQL 서버를 사용하도록 설정하는 방법을 알아봅니다.

July 2024

Date	Category	Update
July 31	GA	엔드포인트 보호에 대한 향상된 검색 및 구성 권장 사항의 일반 공급
July 31	Upcoming update	적응형 네트워크 강화 사용 중단
July 22	Preview	더 이상 GitHub 보안 평가에 추가 라이선스가 필요하지 않습니다
July 18	Upcoming update	서버용 Defender 플랜 2의 MMA 사용 중단에 대한 타임라인이 업데이트됨
July 18	Upcoming update	에이전트 사용 중지로 인한 MMA 관련 기능 사용 중단
July 15	Preview	컨테이너용 Defender의 이진 드리프트 공개 미리 보기
July 14	GA	AWS 및 GCP에 대한 자동화된 수정 스크립트는 이제 GA입니다.
July 11	Upcoming update	GitHub 애플리케이션 권한 업데이트
July 10	GA	규정 준수 표준은 이제 GA입니다.
July 9	Upcoming update	인벤토리 환경 개선
July 8	Upcoming update	GitHub에서 기본적으로 실행할 컨테이너 매핑 도구

엔드포인트 보호에 대한 향상된 검색 및 구성 권장 사항의 일반 공급

2024년 7월 31일

엔드포인트 보호 솔루션에 대한 개선된 검색 기능과 구성 문제의 향상된 식별은 이제 일반 공급되며 다중 클라우드 서버에서 사용할 수 있습니다. 이러한 업데이트는 서버용 Defender 플랜 2 및 Defender CSPM(클라우드 보안 태세 관리)에 포함되어 있습니다.

향상된 권장 사항 기능은 에이전트 없는 컴퓨터 검사를 사용하여 지원되는 엔드포인트 검색 및 응답 솔루션의 구성에 대한 포괄적인 검색 및 평가를 가능하게 합니다. 구성 문제가 식별되면 수정 단계가 제공됩니다.

With this general availability release, the list of supported solutions is expanded to include two more endpoint detection and response tools:

SentinelOne의 Singularity 플랫폼
Cortex XDR

적응형 네트워크 강화 사용 중단

2024년 7월 31일

변경 예상 날짜: 2024년 8월 31일

서버용 Defender의 적응형 네트워크 강화는 더 이상 사용되지 않습니다.

사용이 중단되는 기능에는 다음과 같은 환경이 포함됩니다.

Recommendation: Adaptive network hardening recommendations should be applied on internet facing virtual machines [assessment Key: f9f0eed0-f143-47bf-b856-671ea2eeed62]
Alert: Traffic detected from IP addresses recommended for blocking

미리 보기: 더 이상 GitHub에 대한 보안 평가에 추가 라이선스가 필요하지 않습니다.

2024년 7월 22일

클라우드용 Defender의 GitHub 사용자는 보안 결과를 보기 위해 더 이상 GitHub Advanced Security 라이선스가 필요하지 않습니다. 이는 빌드 단계에서 검색된 코드 약점, IaC(Infrastructure-as-Code) 구성 오류 및 컨테이너 이미지의 취약성에 대한 보안 평가에 적용됩니다.

GitHub Advanced Security를 사용하는 고객은 노출된 자격 증명, 오픈 소스 종속성의 취약성 및 CodeQL 결과에 대해 클라우드용 Defender에서 추가 보안 평가를 계속 받게 됩니다.

클라우드용 Defender의 DevOps 보안에 대해 자세히 알아보려면 DevOps 보안 개요를 참조하세요. GitHub 환경을 클라우드용 Defender에 온보딩하는 방법을 알아보려면 GitHub 온보딩 가이드를 따릅니다. To learn how to configure the Microsoft Security DevOps GitHub Action, see our GitHub Action documentation.

서버용 Defender 플랜 2의 MMA 사용 중단에 대한 타임라인이 업데이트됨

2024년 7월 18일

변경 예상 날짜: 2024년 8월

8월에 Log Analytics 에이전트의 사용 중단이 예정되어 있으므로 클라우드용 Defender의 서버 보호에 대한 모든 보안 값은 단일 에이전트로서 MDE(엔드포인트용 Microsoft Defender)와의 통합과 클라우드 플랫폼 및 에이전트 없는 컴퓨터 검사에서 제공하는 에이전트 없는 기능에 의존하게 됩니다.

다음 기능은 일정과 계획을 업데이트했으므로 MMA를 통한 지원은 클라우드용 Defender 고객을 위해 2024년 11월 말까지 연장됩니다.

FIM(파일 무결성 모니터링): MDE를 통한 FIM 새 버전의 공개 미리 보기 릴리스는 2024년 8월로 계획되어 있습니다. The GA version of FIM powered by Log Analytics agent will continue to be supported for existing customers until the end of November 2024.
Security Baseline: as an alternative to the version based on MMA, the current preview version based on Guest Configuration will be released to general availability in September 2024. OS Security Baselines powered by Log Analytics agent will continue to be supported for existing customers until the end of November 2024.

자세한 내용은 Log Analytics 에이전트 사용 중지 준비를 참조하세요.

2024년 7월 18일

변경 예상 날짜: 2024년 8월

MMA(Microsoft Monitoring Agent) 사용 중단 및 업데이트된 서버용 Defender 배포 전략으로 인해 이제 서버용 Defender의 모든 보안 기능은 단일 에이전트(엔드포인트용 Defender) 또는 에이전트 없는 검사 기능을 통해 제공됩니다. 이를 위해서는 MMA 또는 AMA(Azure Monitoring Agent)에 대한 종속성이 필요하지 않습니다.

2024년 8월에 에이전트가 사용 중지됨에 따라 다음 MMA 관련 기능이 클라우드용 Defender 포털에서 제거됩니다.

Display of MMA installation status on the Inventory and Resource Health blades.
The capability to onboard new non-Azure servers to Defender for Servers via Log Analytics workspaces will be removed from both the Inventory and Getting Started blades.

Note

We recommend that current customers, who have onboarded on-premises servers using the legacy approach, should now connect these machines via Azure Arc-enabled servers. 또한 이러한 서버가 연결된 Azure 구독에서 서버용 Defender 계획 2를 사용하도록 설정하는 것이 좋습니다.

레거시 접근 방식을 통해 특정 Azure VM에서 서버용 Defender 플랜 2를 선택적으로 사용하도록 설정한 경우 이러한 컴퓨터의 Azure 구독에서 서버용 Defender 플랜 2를 사용하도록 설정합니다. Exclude individual machines from the Defender for Servers coverage using the Defender for Servers per-resource configuration.

이러한 단계를 수행하면 Log Analytics 에이전트의 사용 중지로 인해 보안 적용 범위가 손실되지 않습니다.

보안 연속성을 유지하려면 서버용 Defender 플랜 2를 사용하는 고객에게 구독에서 에이전트 없는 컴퓨터 검사 및 엔드포인트용 Microsoft Defender와의 통합을 사용하도록 설정하는 것이 좋습니다.

이 사용자 지정 통합 문서를 사용하여 MMA(Log Analytics Agent) 자산을 추적하고 Azure VM 및 Azure Arc 컴퓨터에서 서버용 Defender의 배포 상태를 모니터링할 수 있습니다.

자세한 내용은 Log Analytics 에이전트 사용 중지 준비를 참조하세요.

이제 컨테이너용 Defender에서 이진 드리프트 공개 미리 보기를 사용할 수 있습니다.

컨테이너용 Defender용 이진 드리프트의 공개 미리 보기를 소개합니다. 이 기능은 컨테이너의 권한이 없는 이진과 관련된 잠재적인 보안 위험을 식별하고 완화하는 데 도움이 됩니다. 이진 드리프트는 컨테이너 내에서 잠재적으로 유해한 이진 프로세스에 대한 경고를 자율적으로 식별하고 보냅니다. 또한 새로운 이진 드리프트 정책을 구현하여 경고 기본 설정을 제어하여 특정 보안 요구 사항에 맞게 알림을 조정할 수 있습니다. 이 기능에 대한 자세한 내용은 이진 드리프트 검색을 참조하세요.

AWS 및 GCP에 대한 자동화된 수정 스크립트는 이제 GA입니다.

2024년 7월 14일

3월에는 AWS & GCP에 대한 자동화된 수정 스크립트를 공개 미리 보기로 릴리스하여 AWS & GCP에 대한 권장 사항을 프로그래밍 방식으로 대규모로 수정할 수 있습니다.

현재는 이 기능을 GA(일반 공급)로 릴리스하고 있습니다. 자동화된 수정 스크립트를 사용하는 방법을 알아봅니다.

GitHub 애플리케이션 권한 업데이트

2024년 7월 11일

변경 예상 날짜: 2024년 7월 18일

클라우드용 Defender의 DevOps 보안은 Cloud용 Defender에서 GitHub 커넥터를 사용하는 고객이 GitHub의 Microsoft Security DevOps 애플리케이션에 대한 권한을 업데이트하도록 요구하는 업데이트를 지속적으로 수행합니다.

이 업데이트의 일부로 GitHub 애플리케이션에는 GitHub Copilot 비즈니스 읽기 권한이 필요합니다. 이 권한은 고객이 GitHub Copilot 배포를 보다 안전하게 보호하는 데 사용됩니다. 가능한 한 빨리 애플리케이션을 업데이트하는 것이 좋습니다.

권한은 다음과 같은 두 가지 방법으로 부여할 수 있습니다.

GitHub 조직에서 설정 > GitHub 앱 내에서 Microsoft Security DevOps 애플리케이션으로 이동하고 권한 요청을 수락합니다.
GitHub 지원의 자동화된 메일에서 검토 권한 요청을 선택하여 이 변경 내용을 수락하거나 거부합니다.

규정 준수 표준은 이제 GA입니다.

2024년 7월 10일

3월에는 고객이 AWS 및 GCP 리소스의 유효성을 검사할 수 있도록 다양한 새로운 규정 준수 표준의 미리 보기 버전을 추가했습니다.

이러한 표준에는 CIS GKE(Google Kubernetes Engine) 벤치마크, ISO/IEC 27001 및 ISO/IEC 27002, CRI Profile, CCM(CSA Cloud Controls Matrix), LGPD(브라질 일반 개인 데이터 보호법), CCPA(캘리포니아 소비자 개인 정보 보호법) 등이 포함되었습니다.

이러한 미리 보기 표준은 이제 GA(일반 공급)로 제공됩니다.

지원되는 준수 표준의 전체 목록을 확인하세요.

인벤토리 환경 개선

2024년 7월 9일

변경 예상 날짜: 2024년 7월 11일

Azure Resource Graph에서 창의 '쿼리 열기' 쿼리 논리 개선 사항을 포함하여 성능 향상을 위해 인벤토리 환경이 업데이트됩니다. Azure 리소스 계산 뒤에 있는 논리를 업데이트하면 다른 리소스가 계산되고 표시될 수 있습니다.

GitHub에서 기본적으로 실행할 컨테이너 매핑 도구

2024년 07월 08일

변경 예상 날짜: 2024년 8월 12일

Microsoft Defender CSPM(클라우드 보안 태세 관리)의 DevOps 보안 기능을 사용하면 클라우드 네이티브 애플리케이션을 Code to Cloud에서 매핑하여 개발자 수정 워크플로를 쉽게 시작하고 컨테이너 이미지의 취약성 수정 시간을 단축할 수 있습니다. 현재 GitHub의 Microsoft Secuity DevOps 작업에서 실행되도록 컨테이너 이미지 매핑 도구를 수동으로 구성해야 합니다. 이 변경으로 인해 컨테이너 매핑은 기본적으로 Microsoft Security DevOps 작업의 일부로 실행됩니다. Microsoft Security DevOps 작업에 대해 자세히 알아보기.

June 2024

Date	Category	Update
June 27	GA	클라우드용 Defender의 Checkov IaC 검사.
June 24	Update	다중 클라우드 컨테이너용 Defender 가격 책정 변경
June 20	Upcoming deprecation	MMA(Microsoft Monitoring Agent) 사용 중단 시 적응형 권장 사항 사용 중단 미리 알림. 예상 사용 중단: 2024년 8월
June 10	Preview	클라우드용 Defender 부조종사
June 10	Upcoming update	구성되지 않은 서버에서 빠른 구성을 사용하는 SQL 취약성 평가 자동 사용. 예상 업데이트 날짜: 2024년 7월 10일.
June 3	Upcoming update	ID 권장 사항 동작의 변화 예상 업데이트 날짜: 2024년 7월 10일.

GA: 클라우드용 Defender의 Checkov IaC 검사

2024년 6월 27일

We're announcing the general availability of the Checkov integration for Infrastructure-as-Code (IaC) scanning through Microsoft Security DevOps (MSDO). 이 릴리스의 일부로 Checkov는 TERRAScan을 MSDO CLI(명령줄 인터페이스)의 일부로 실행되는 기본 IaC 분석기로 대체합니다. TerraScan might still be configured manually through MSDO's environment variables but won't run by default.

Checkov의 보안 결과는 Azure DevOps 리포지토리 평가에서 Azure DevOps 및 GitHub 리포지토리 모두에 대한 권장 사항으로 존재하며, 코드 결과가 확인되면 GitHub 리포지토리에 인프라가 있어야 합니다.

클라우드용 Defender의 DevOps 보안에 대해 자세히 알아보려면 DevOps 보안 개요를 참조하세요. To learn how to configure the MSDO CLI, see the Azure DevOps or GitHub documentation.

업데이트: 다중 클라우드의 컨테이너용 Defender 가격 책정 변경

2024년 6월 24일

이제 다중 클라우드의 컨테이너용 Defender가 일반 공급되므로 더 이상 무료로 제공되지 않습니다. 자세한 내용은 클라우드용 Microsoft Defender 가격 책정을 참조하세요.

사용 중단: 적응형 권장 사항 사용 중단 미리 알림

2024년 6월 20일

변경 예상 날짜: 2024년 8월

MMA 사용 중단 및 서버용 Defender 업데이트 배포 전략의 일환으로 서버용 Defender 보안 기능은 MDE(엔드포인트용 Microsoft Defender) 에이전트 또는 에이전트 없는 검사 기능을 통해 제공됩니다. 이 두 옵션 모두 MMA 또는 AMA(Azure Monitoring Agent)에 의존하지 않습니다.

적응형 애플리케이션 제어 및 적응형 네트워크 강화로 알려진 적응형 보안 권장 사항은 중단됩니다. MMA를 기반으로 하는 현재 GA 버전과 AMA를 기반으로 하는 미리 보기 버전은 2024년 8월에 더 이상 사용되지 않습니다.

미리 보기: 클라우드용 Defender 코필로트

2024년 6월 10일

Microsoft Security Copilot가 공개 미리 보기에서 클라우드용 Defender 통합됩니다. 클라우드용 Defender에 포함된 Copilot 환경은 사용자에게 자연으로 질문하고 답변을 얻을 수 있는 기능을 제공합니다. Copilot은 권장 사항의 컨텍스트, 권장 사항의 구현의 효과, 권장 사항을 구현하는 데 필요한 단계를 이해하도록 돕고, 권장 사항 위임을 지원하고, 코드에서 잘못된 구성을 수정하는 데 도움을 줄 수 있습니다.

클라우드용 Defender Microsoft 보안 코필로트에 대해 자세히 알아보세요.

업데이트: SQL 취약성 평가 자동 사용 설정

2024년 6월 10일

변경 예상 날짜: 2024년 7월 10일

원래 빠른 구성을 사용하는 SQL VA(취약성 평가)는 2022년 12월 빠른 구성이 도입된 후 Microsoft Defender for SQL이 활성화된 서버에서만 자동으로 사용하도록 설정되었습니다.

Microsoft Defender for SQL이 2022년 12월 이전에 활성화되었고 기존 SQL VA 정책이 없는 모든 Azure SQL Server를 업데이트하여 EXPRESS 구성에서 SQL VA(SQL 취약성 평가)를 자동으로 사용하도록 설정합니다.

이 변경의 구현은 몇 주에 걸쳐 점진적이며 사용자 부분에 대한 작업이 필요하지 않습니다.
이 변경 사항은 Azure 구독 수준에서 Microsoft Defender for SQL이 활성화된 Azure SQL Server에 적용됩니다.
기존 클래식 구성이 있는 서버(유효하거나 잘못된지 여부)는 이 변경의 영향을 받지 않습니다.
정품 인증 시 'SQL 데이터베이스에 취약성 발견이 해결되어야 합니다'가 표시되고 보안 점수에 영향을 미칠 수 있습니다.

업데이트: ID 권장 사항 동작 변경

2024년 6월 3일

변경 예상 날짜: 2024년 7월

These changes:

평가된 리소스는 구독 대신 ID가 됩니다.
권장 사항에 더 이상 '하위 커밋'이 없습니다.
이러한 권장 사항에 대해 API의 'assessmentKey' 필드 값이 변경됩니다.

다음 권장 사항에 적용됩니다.

Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함
Azure 리소스에 대한 쓰기 권한이 있는 계정은 MFA를 사용하도록 설정해야 함
Azure 리소스에 대한 읽기 권한이 있는 계정은 MFA를 사용하도록 설정해야 함
Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함
Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함
Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함
Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함
Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함
구독에 대해 최대 3명의 소유자를 지정해야 합니다.
구독에 둘 이상의 소유자를 할당해야 합니다.

May 2024

Date	Category	Update
May 30	GA	서버용 Defender Plan 2의 에이전트 없는 맬웨어 검색
May 22	Update	공격 경로에 대한 메일 알림 구성
May 21	Update	Microsoft Defender XDR의 고급 헌팅 기능에 클라우드용 Defender 경고 및 인시던트가 포함됨
May 9	Preview	클라우드용 Defender의 IaC 검사를 위한 Checkov 통합
May 7	GA	클라우드용 Defender의 권한 관리
May 6	Preview	AI 다중 클라우드 보안 태세 관리는 Azure 및 AWS에서 공개적으로 사용 가능.
May 6	Limited preview	Azure의 AI 워크로드에 대한 위협 방지.
May 2	Update	보안 정책 관리.
May 1	Preview	이제 AWS에서 Amazon 인스턴스에 오픈 소스 데이터베이스용 Defender를 사용할 수 있음.
May 1	Upcoming deprecation	AMA를 통한 FIM 제거 및 엔드포인트용 Defender를 통한 새 버전 릴리스. 예상 사용 중단: 2024년 8월

GA: 서버용 Defender 계획 2의 에이전트 없는 맬웨어 검색

2024년 5월 30일

Azure VM, AWS EC2 인스턴스 및 GCP VM 인스턴스에 대한 클라우드용 Defender의 에이전트 없는 맬웨어 검색 기능이 이제 서버용 Defender Plan 2의 새로운 기능으로 일반 공급됩니다.

에이전트 없는 맬웨어 검색은 Microsoft Defender 바이러스 백신 맬웨어 방지 엔진을 사용하여 악성 파일을 검사하고 검색합니다. 탐지된 위협은 보안 경고를 클라우드용 Defender 및 Defender XDR로 직접 트리거하여 해당 위협을 조사 및 수정할 수 있습니다. 서버의 에이전트 없는 맬웨어 검사 및 VM에 대한 에이전트 없는 검사에 대해 자세히 알아봅니다.

업데이트: 공격 경로에 대한 이메일 알림 구성

2024년 5월 22일

이제 지정된 위험 수준 이상의 공격 경로가 검색되면 이메일 알림을 구성할 수 있습니다. 메일 알림을 구성하는 방법을 알아봅니다.

업데이트: Microsoft Defender XDR의 고급 헌팅에 클라우드용 Defender 경고 및 인시던트가 포함됨

2024년 5월 21일

클라우드용 Defender의 경고 및 인시던트는 이제 Microsoft Defender XDR과 통합되었으며 Microsoft Defender 포털에서 액세스할 수 있습니다. 이 통합은 클라우드 리소스, 디바이스 및 ID를 포괄하는 조사에 대한 보다 풍부한 컨텍스트를 제공합니다. XDR 통합의 고급 헌팅에 대해 알아봅니다.

미리 보기: 클라우드용 Defender에서 IaC 검사를 위한 Checkov 통합

2024년 5월 9일

클라우드용 Defender의 DevOps 보안을 위한 Checkov 통합은 이제 미리 보기로 제공됩니다. 이 통합은 IaC 템플릿을 검사할 때 MSDO CLI에서 실행하는 코드 제공 인프라 검사의 품질 및 총 수를 모두 향상시킵니다.

미리 보기에 있는 동안 MSDO CLI에 대한 '도구' 입력 매개 변수를 통해 Checkov를 명시적으로 호출해야 합니다.

클라우드용 Defender의 DevOps 보안과 Azure DevOps 및 GitHub에 대한 MSDO CLI 구성에 대해 자세히 알아봅니다.

GA: 클라우드용 Defender의 권한 관리

2024년 5월 7일

Permissions management is now generally available in Defender for Cloud.

미리 보기: AI 다중 클라우드 보안 태세 관리

2024년 5월 6일

AI 보안 태세 관리는 클라우드용 Defender에서 미리 보기로 사용할 수 있습니다. Azure 및 AWS에 대한 AI 보안 태세 관리 기능을 제공하여 AI 파이프라인 및 서비스의 보안을 강화합니다.

AI 보안 태세 관리에 대해 자세히 알아봅니다.

제한된 미리 보기: Azure의 AI 워크로드에 대한 위협 방지

2024년 5월 6일

클라우드용 Defender의 AI 워크로드에 대한 위협 방지는 제한된 미리 보기로 제공됩니다. 이 플랜은 런타임에 Azure OpenAI 기반 애플리케이션에서 악의적인 작업을 모니터링하고 보안 위험을 식별 및 수정하는 데 도움이 됩니다. It provides contextual insights into AI workload threat protection, integrating with Responsible AI and Microsoft Threat Intelligence. 관련 보안 경고는 Defender 포털에 통합되어 있습니다.

AI 워크로드에 대한 위협 방지에 대해 자세히 알아봅니다.

GA: 보안 정책 관리

2024년 5월 2일

클라우드(Azure, AWS, GCP)의 보안 정책 관리는 이제 일반 공급됩니다. 이렇게 하면 보안 팀이 일관된 방식으로 새로운 기능을 사용하여 보안 정책을 관리할 수 있습니다.

클라우드용 Microsoft Defender의 보안 정책에 대해 자세히 알아봅니다.

미리 보기: AWS에서 사용 가능한 오픈 소스 데이터베이스용 Defender

2024년 5월 1일

이제 AWS의 오픈 소스 데이터베이스용 Defender가 미리 보기로 제공됩니다. 다양한 형식의 Amazon RDS(관계형 데이터베이스 서비스) 인스턴스 형식에 대한 지원이 추가되었습니다.

오픈 소스 데이터베이스용 Defender 및 AWS에서 오픈 소스 데이터베이스용 Defender를 사용하도록 설정하는 방법에 대해 자세히 알아봅니다.

사용 중단: FIM 제거(AMA 포함)

2024년 5월 1일

변경 예상 날짜: 2024년 8월

MMA 사용 중단 및 서버용 Defender 업데이트 배포 전략의 일환으로, 모든 서버용 Defender 보안 기능은 단일 에이전트(MDE) 또는 에이전트 없는 검사 기능을 통해 제공되며 MMA 또는 AMA에 종속되지 않습니다.

MDE(엔드포인트용 Microsoft Defender)를 통한 FIM(파일 무결성 모니터링)의 새 버전을 사용하면 중요한 파일 및 레지스트리를 실시간으로 모니터링하고, 변경 콘텐츠를 감사하고, 의심스러운 파일 콘텐츠 변경을 검색하여 규정 요구 사항을 준수할 수 있습니다.

이 릴리스의 일부로 AMA를 통한 FIM 환경은 2024년 8월부터 Defender for Cloud 포털을 통해 더 이상 사용할 수 없습니다. 자세한 내용은 파일 무결성 모니터링 환경 - 변경 내용 및 마이그레이션 지침을 참조하세요.

새 API 버전에 대한 자세한 내용은 클라우드용 Microsoft Defender REST API를 참조하세요.

April 2024

Date	Category	Update
April 16	Upcoming update	CIEM 평가 ID 변경. 예상 업데이트: 2024년 5월.
April 15	GA	이제 AWS 및 GCP에서 컨테이너용 Defender를 사용할 수 있습니다.
April 3	Update	위험 우선 순위 지정은 이제 클라우드용 Defender의 기본 환경입니다.
April 3	Update	오픈 소스 관계형 데이터베이스용 Defender 업데이트.

업데이트: CIEM 평가 ID 변경

2024년 4월 16일

변경 예상 날짜: 2024년 5월

다음 권장 사항은 리모델링이 예정되어 있으며 이로 인해 평가 ID가 변경됩니다.

Azure overprovisioned identities should have only the necessary permissions
AWS Overprovisioned identities should have only the necessary permissions
GCP overprovisioned identities should have only the necessary permissions
Super identities in your Azure environment should be removed
Unused identities in your Azure environment should be removed

GA: AWS 및 GCP용 컨테이너용 Defender

2024년 4월 15일

컨테이너용 Defender의 AWS 및 GCP에 대한 런타임 위협 감지 및 에이전트 없는 검색이 이제 일반 공급됩니다. 또한 AWS에는 프로비전을 간소화하는 새로운 인증 기능이 있습니다.

클라우드용 Defender의 컨테이너 지원 매트릭스와 컨테이너용 Defender 구성 요소 구성 방법에 대해 자세히 알아봅니다.

업데이트: 위험 우선 순위

2024년 4월 3일

이제 위험 우선 순위 지정은 클라우드용 Defender의 기본 환경입니다. 이 기능은 각 리소스의 위험 요소를 기반으로 권장 사항의 우선 순위를 지정하여 환경에서 가장 중요한 보안 문제에 집중하는 데 도움이 됩니다. 위험 요소에는 위반되는 보안 문제의 잠재적 영향, 위험 범주, 보안 문제가 포함된 공격 경로가 포함됩니다. Learn more about risk prioritization.

업데이트: 오픈 소스 관계형 데이터베이스용 Defender

2024년 4월 3일

GA 이후 Defender for PostgreSQL 유연한 서버 업데이트 - 이 업데이트를 통해 고객은 구독 수준에서 기존 PostgreSQL 유연한 서버에 대한 보호를 적용할 수 있으므로 완전한 유연성을 통해 리소스별로 보호를 사용하도록 설정하거나 구독 수준에서 모든 리소스를 자동으로 보호합니다.
MySQL용 Defender 유연한 서버 가용성 및 GA - 클라우드용 Defender는 MySQL 유연한 서버를 통합하여 Azure 오픈 소스 관계형 데이터베이스에 대한 지원을 확장했습니다.

이 릴리스에는 다음 관리 팩이 포함되어 있습니다.

MySQL용 Defender 단일 서버에 대한 기존 경고와의 경고 호환성입니다.
개별 리소스의 사용하도록 설정합니다.
구독 수준에서 사용하도록 설정합니다.
Azure Database for MySQL 유연한 서버에 대한 업데이트는 앞으로 몇 주에 걸쳐 출시될 예정입니다. The server <servername> is not compatible with Advanced Threat Protection 오류가 표시되면 업데이트를 기다리거나 지원 티켓을 열어 서버를 지원되는 버전으로 더 빨리 업데이트할 수 있습니다.

이미 오픈 소스 관계형 데이터베이스용 Defender를 사용하여 구독을 보호하고 있다면 유연한 서버 리소스가 자동으로 사용하도록 설정되고 보호되며 요금이 청구됩니다. 영향을 받는 구독에 대해 특정 청구 알림이 이메일을 통해 전송되었습니다.

오픈 소스 관계형 데이터베이스용 Microsoft Defender에 대해 자세히 알아봅니다.

March 2024

Date	Category	Update
March 31	GA	Windows 컨테이너 이미지 검사
March 25	Update	이제 연속 내보내기에 공격 경로 데이터가 포함됩니다.
March 21	Preview	에이전트 없는 검사는 Azure에서 CMK로 암호화된 VM 지원
March 17	Preview	Azure용 KQL을 기반으로 한 사용자 지정 권장 사항.
March 13	Update	Microsoft 클라우드 보안 벤치마크에 DevOps 권장 사항 포함
March 13	GA	ServiceNow integration.
March 13	Preview	클라우드용 Microsoft Defender의 중요 자산 보호.
March 12	Update	자동 수정 스크립트를 통해 향상된 AWS 및 GCP 권장 사항
March 6	Preview	준수 대시보드에 준수 표준이 추가됨
March 6	Upcoming update	오픈 소스 관계형 데이터베이스 업데이트를 위한 Defender 예상: 2024년 4월
March 3	Upcoming update	규정 준수 제안 및 Microsoft Actions에 액세스하는 위치의 변경 내용 예상: 2025년 9월
March 3	Deprecation	Qualys 사용 중지를 통해 제공되는 클라우드용 Defender Containers 취약성 평가
March 3	Upcoming update	규정 준수 제안 및 Microsoft Actions에 액세스하는 위치의 변경 내용. 예상 사용 중단: 2025년 9월 30일.

GA: Windows 컨테이너 이미지 검사

2024년 3월 31일

컨테이너용 Defender의 검사를 위한 Windows 컨테이너 이미지 지원의 GA(일반 공급)를 발표합니다.

업데이트: 이제 연속 내보내기에 공격 경로 데이터가 포함됨

2024년 3월 25일

이제 연속 내보내기에 공격 경로 데이터가 포함된다는 소식을 알려드립니다. 이 기능을 사용하면 보안 데이터를 Azure Monitor의 Log Analytics, Azure Event Hubs 또는 다른 SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션 자동 응답) 또는 IT 클래식 배포 모델 솔루션으로 스트리밍할 수 있습니다.

Learn more about continuous export.

미리 보기: 에이전트 없는 검사는 Azure에서 CMK로 암호화된 VM 지원

2024년 3월 21일

지금까지 에이전트 없는 검사에는 AWS 및 GCP의 CMK 암호화 VM이 포함되었습니다. 이번 릴리스에서는 Azure에 대한 지원도 완료됩니다. 이 기능은 Azure의 CMK에 대한 고유한 검사 방식을 사용합니다.

클라우드용 Defender는 키 또는 암호 해독 프로세스를 처리하지 않습니다. 키 및 암호 해독은 Azure Compute에서 원활하게 처리되며 클라우드용 Defender 에이전트 없는 검사 서비스에 투명합니다.
암호화되지 않은 VM 디스크 데이터는 복사되거나 다른 키로 다시 암호화되지 않습니다.
원본 키는 프로세스 중에 복제되지 않습니다. 제거하면 프로덕션 VM과 클라우드용 Defender 임시 스냅샷 모두에서 데이터가 제거됩니다.

공개 미리 보기 중에는 이 기능이 자동으로 사용하도록 설정되지 않습니다. If you're using Defender for Servers P2 or Defender CSPM and your environment has VMs with CMK encrypted disks, you can now have them scanned for vulnerabilities, secrets, and malware following these enablement steps.

미리 보기: Azure용 KQL을 기반으로 한 사용자 지정 권장 사항

2024년 3월 17일

Azure용 KQL을 기반으로 한 사용자 지정 권장 사항은 이제 공개 미리 보기로 제공되며 모든 클라우드에서 지원됩니다. 자세한 내용은 사용자 지정 보안 표준 및 권장 사항 만들기를 참조하세요.

업데이트: Microsoft 클라우드 보안 벤치마크에 DevOps 권장 사항 포함

2024년 3월 13일

이제 Azure, AWS 및 GCP 외에도 MCSB(Microsoft 클라우드 보안 벤치마크)에서 DevOps 보안 및 규정 준수 상태를 모니터링할 수 있다고 발표했습니다. DevOps 평가는 MCSB의 DevOps 보안 제어의 일부입니다.

MCSB는 일반적인 업계 표준 및 준수 프레임워크를 기반으로 기본적인 클라우드 보안 원칙을 정의하는 프레임워크입니다. MCSB는 클라우드에 구애받지 않는 보안 권장 사항을 구현하는 방법에 대한 규범적인 세부 정보를 제공합니다.

Learn more about the DevOps recommendations that will be included and the Microsoft cloud security benchmark.

GA: ServiceNow 통합이 이제 일반 공급됩니다.

2024년 3월 12일

We're announcing the general availability (GA) of the ServiceNow integration.

미리 보기: 클라우드용 Microsoft Defender의 중요 자산 보호

2024년 3월 12일

이제 클라우드용 Defender Microsoft Security Exposure Management의 중요한 자산 엔진을 사용하여 위험 우선 순위 지정, 공격 경로 분석 및 클라우드 보안 탐색기를 통해 중요한 자산을 식별하고 보호하는 비즈니스 중요도 기능을 포함합니다. 자세한 내용은 클라우드용 Microsoft Defender(미리 보기)의 중요 자산 보호를 참조하세요.

업데이트: 자동화된 수정 스크립트를 통해 향상된 AWS 및 GCP 권장 사항

2024년 3월 12일

프로그래밍 방식으로 대규모로 문제를 수정할 수 있는 자동화된 문제 수정 스크립트를 통해 AWS 및 GCP 권장 사항을 강화하고 있습니다. 자동 수정 스크립트에 대해 자세히 알아봅니다.

미리 보기: 준수 대시보드에 준수 표준 추가

2024년 3월 6일

고객 피드백을 기반으로 클라우드용 Defender에 미리 보기로 준수 표준을 추가했습니다.

지원되는 준수 표준의 전체 목록을 확인합니다.

Azure, AWS 및 GCP 환경에 대한 새 표준을 추가하고 업데이트하기 위해 지속적으로 노력하고 있습니다.

보안 표준 할당 방법을 알아봅니다.

업데이트: 오픈 소스 관계형 데이터베이스용 Defender 업데이트

2024년 3월 6일**

변경 예상 날짜: 2024년 4월

GA 이후 Defender for PostgreSQL 유연한 서버 업데이트 - 이 업데이트를 통해 고객은 구독 수준에서 기존 PostgreSQL 유연한 서버에 대한 보호를 적용할 수 있으므로 완전한 유연성을 통해 리소스별로 보호를 사용하도록 설정하거나 구독 수준에서 모든 리소스를 자동으로 보호합니다.

MySQL용 Defender 유연한 서버 가용성 및 GA - 클라우드용 Defender는 MySQL 유연한 서버를 통합하여 Azure 오픈 소스 관계형 데이터베이스에 대한 지원을 확장할 예정입니다. 이번 릴리스에는 다음이 포함됩니다.

MySQL용 Defender 단일 서버에 대한 기존 경고와의 경고 호환성입니다.
개별 리소스의 사용하도록 설정합니다.
구독 수준에서 사용하도록 설정합니다.

오픈 소스 관계형 데이터베이스용 Microsoft Defender에 대해 자세히 알아봅니다.

업데이트: 규정 준수 제품 및 Microsoft Actions 설정 변경

2024년 3월 3일

예상 변경 날짜: 2025년 9월 30일

2025년 9월 30일에 두 가지 미리 보기 기능인 규정 준수 제품 및 Microsoft Actions 기능에 액세스할 수 있는 위치가 변경됩니다.

The table that lists the compliance status of Microsoft's products (accessed from the Compliance offerings button in the toolbar of Defender's regulatory compliance dashboard). 클라우드용 Defender에서 이 단추를 제거한 후에도 Service Trust Portal을 사용하여 이 정보에 액세스할 수 있습니다.

컨트롤 하위 집합의 경우 컨트롤 세부 정보 창의 Microsoft Actions(미리 보기) 단추에서 Microsoft Actions에 액세스할 수 있었습니다. 이 단추를 제거한 후 FedRAMP용 Microsoft의 서비스 신뢰 포털을 방문하여 Azure 시스템 보안 계획 문서에 액세스하여 Microsoft 작업을 볼 수 있습니다.

업데이트: 규정 준수 제안 및 Microsoft Actions에 액세스하는 위치의 변경 내용

2024년 3월 3일**

변경 예상 날짜: 2025년 9월

2025년 9월 30일에 두 가지 미리 보기 기능인 규정 준수 제품 및 Microsoft Actions 기능에 액세스할 수 있는 위치가 변경됩니다.

사용 중단: Qualys 사용 중지를 통해 제공되는 클라우드용 Defender Containers 취약성 평가

2024년 3월 3일

Qualys에서 제공하는 클라우드용 Defender 컨테이너 취약성 평가가 사용 중지됩니다. 사용 중지는 3월 6일까지 완료될 예정이며 그때까지 Qualys 권장 사항과 Qualys 결과 모두 보안 그래프에 부분적인 결과가 계속 나타날 수 있습니다. 이전에 이 평가를 사용했던 고객은 Microsoft Defender 취약성 관리가 포함된 Azure에 대한 취약성 평가로 업그레이드해야 합니다. Microsoft Defender 취약성 관리에서 제공하는 컨테이너 취약성 평가 제품으로 전환하는 방법에 대한 자세한 내용은 Qualys에서 Microsoft Defender 취약성 관리로의 전환을 참조하세요.

February 2024

Date	Category	Update
February 28	Deprecation	MSCA(Microsoft Security Code Analysis)가 더 이상 작동되지 않음.
February 28	Update	업데이트된 보안 정책 관리로 AWS 및 GCP에 대한 지원 확장.
February 26	Update	컨테이너용 Defender에 대한 클라우드 지원
February 20	Update	컨테이너용 Defender용 Defender 센서의 새 버전
February 18	Update	OCI(Open Container Initiative) 이미지 형식 사양 지원
February 13	Deprecation	Trivy에서 제공하는 AWS 컨테이너 취약성 평가가 사용 중지됨.
February 5	Upcoming update	Microsoft.SecurityDevOps 리소스 공급자의 서비스 해제 예상: 2024년 3월 6일

사용 중단: MSCA(Microsoft 보안 Code Analysis)는 더 이상 작동하지 않음

2024년 2월 28일

In February 2021, the deprecation of the MSCA task was communicated to all customers and has been past end of life support since March 2022. 2024년 2월 26일부터 MSCA는 공식적으로 더 이상 운영되지 않습니다.

고객은 클라우드용 Defender의 최신 DevOps 보안 도구는 Microsoft Security DevOps를 통해, 더 많은 보안 도구는 GitHub Advanced Security for Azure DevOps를 통해 받을 수 있습니다.

업데이트: 업데이트된 보안 정책 관리로 AWS 및 GCP에 대한 지원 확장

2024년 2월 28일

Azure용 미리 보기에서 처음 릴리스된 보안 정책 관리를 위한 업데이트된 환경은 교차 클라우드(AWS 및 GCP) 환경에 대한 지원을 확장하고 있습니다. 이 미리 보기 릴리스에는 다음이 포함됩니다.

Azure, AWS 및 GCP 환경 전반에 걸쳐 클라우드용 Defender에서 규정 준수 표준을 관리합니다.
MCSB(Microsoft 클라우드 보안 벤치마크) 사용자 지정 권장 사항을 만들고 관리하기 위한 동일한 교차 클라우드 인터페이스 환경입니다.
업데이트된 환경은 KQL 쿼리로 사용자 지정 권장 사항을 만들기 위해 AWS 및 GCP에 적용됩니다.

업데이트: 컨테이너용 Defender에 대한 클라우드 지원

2024년 2월 26일

컨테이너용 Defender의 AKS(Azure Kubernetes Service) 위협 감지 기능은 이제 상용, Azure Government 및 Azure 중국 21Vianet 클라우드에서 완벽하게 지원됩니다. Review supported features.

업데이트: 컨테이너용 Defender용 Defender 센서의 새 버전

2024년 2월 20일

컨테이너용 디펜더용 디펜더 센서의 새로운 버전이 출시되었습니다. It includes performance and security improvements, support for both AMD64 and Arm64 arch nodes (Linux only), and uses Inspektor Gadget as the process collection agent instead of Sysdig. 새 버전은 Linux 커널 버전 5.4 이상에서만 지원되므로 이전 버전의 Linux 커널이 있는 경우 업그레이드해야 합니다. Arm64에 대한 지원은 AKS V1.29 이상에서만 가능합니다. 자세한 내용은 지원되는 호스트 운영 체제를 참조하세요.

업데이트: OCI(Open Container Initiative) 이미지 형식 사양 지원

2024년 2월 18일

오픈 컨테이너 이니셔티브(OCI) 이미지 형식 사양은 이제 AWS, Azure & GCP 클라우드용 Microsoft Defender 취약성 관리에서 취약성 평가를 통해 지원됩니다.

사용 중단: Trivy가 제공하는 AWS 컨테이너 취약성 평가가 사용 중지됨

2024년 2월 13일

Trivy에서 제공하는 컨테이너 취약성 평가가 사용 중지됨 이전에 이 평가를 사용했던 고객은 새로운 Microsoft Defender 취약성 관리가 제공하는 AWS 컨테이너 취약성 평가로 업그레이드해야 합니다. 업그레이드 방법에 대한 지침은 사용 중지된 Trivy 취약성 평가에서 Microsoft Defender 취약성 관리에서 제공하는 AWS 취약성 평가로 업그레이드하려면 어떻게 해야 하나요?를 참조하세요.

업데이트: Microsoft.SecurityDevOps 리소스 공급자의 서비스 해제

2024년 2월 5일

변경 예상 날짜: 2024년 3월 6일

클라우드용 Microsoft Defender는 DevOps 보안의 공개 미리 보기 중에 사용된 리소스 공급자 Microsoft.SecurityDevOps를 서비스 해제 중이며 기존 Microsoft.Security 공급자로 마이그레이션했습니다. 변경 이유는 DevOps 커넥터와 연결된 리소스 공급자 수를 줄여 고객 환경을 개선하기 위한 것입니다.

Customers that are still using the API version 2022-09-01-preview under Microsoft.SecurityDevOps to query Defender for Cloud DevOps security data will be impacted. To avoid disruption to their service, customer will need to update to the new API version 2023-09-01-preview under the Microsoft.Security provider.

현재 Azure Portal에서 클라우드용 Defender DevOps 보안을 사용하는 고객은 영향을 받지 않습니다.

January 2024

Date	Category	Update
January 31	Update	클라우드 보안 탐색기의 활성 리포지토리에 대한 새 인사이트
January 30	Upcoming update	다중 클라우드 컨테이너 위협 감지에 대한 가격 책정 변경 예상: 2024년 4월
January 29	Upcoming update	Premium DevOps용 Defender CSPM 보안 기능 적용. 예상: 2024년 3월
January 24	Preview	컨테이너용 Defender 및 Defender CSPM의 GCP용 에이전트 없는 컨테이너 보안 태세.
January 16	Preview	에이전트 없는 서버 맬웨어 검사.
January 15	GA	클라우드용 Defender와 Microsoft Defender XDR의 통합.
January 14	Update	에이전트 없는 VM 검사 기본 제공 Azure 역할로 업데이트 예상: 2024년 3월
January 12	Update	DevOps 보안 끌어오기 요청 주석은 이제 Azure DevOps 커넥터에 대해 기본적으로 사용하도록 설정됨.
January 9	Deprecation	서버용 Defender 기본 제공 취약성 평가(Qualys) 사용 중단 경로. 예상: 2024년 5월
January 3	Upcoming update	클라우드용 Defender 다중 클라우드 네트워크 요구 사항에 대한 향후 변경 내용입니다. 예상: 2024년 5월.

업데이트: 클라우드 보안 탐색기의 활성 리포지토리에 대한 새 인사이트

2024년 1월 31일

Azure DevOps 리포지토리에 대한 새로운 인사이트가 클라우드 보안 탐색기에 추가되어 리포지토리가 활성 상태인지 여부를 나타냅니다. 이 인사이트는 코드 리포지토리가 보관되거나 비활성화되지 않음을 나타냅니다. 즉, 사용자가 코드, 빌드 및 끌어오기 요청에 대한 쓰기 액세스를 계속 사용할 수 있음을 의미합니다. 코드는 일반적으로 활성 배포에서 사용되지 않으므로 보관 및 비활성화된 리포지토리는 낮은 우선 순위로 간주될 수 있습니다.

클라우드 보안 탐색기를 통해 쿼리를 테스트하려면 이 쿼리 링크를 사용합니다.

업데이트: 다중 클라우드 컨테이너 위협 감지 가격 책정 변경

2024년 1월 30일**

변경 예상 날짜: 2024년 4월

다중 클라우드 컨테이너 위협 검색이 GA로 전환되면 더 이상 무료가 아닙니다. 자세한 내용은 클라우드용 Microsoft Defender 가격 책정을 참조하세요.

업데이트: Premium DevOps용 Defender CSPM 보안 값 적용

2024년 1월 29일**

변경 예상 날짜: 2024년 3월 7일

클라우드용 Defender는 2024년 3월 7일부터 프리미엄 DevOps 보안 값에 대한 Defender CSPM 플랜 확인을 적용하기 시작합니다. DevOps 커넥터를 만든 동일한 테넌트 내의 클라우드 환경(Azure, AWS, GCP)에서 Defender CSPM 플랜을 사용하도록 설정한 경우 추가 비용 없이 프리미엄 DevOps 기능을 계속 사용할 수 있습니다. Defender CSPM 고객이 아닌 경우 이러한 보안 기능에 대한 액세스 권한을 잃기 전에 2024년 3월 7일까지 Defender CSPM을 사용하도록 설정해야 합니다. To enable Defender CSPM on a connected cloud environment before March 7, 2024, follow the enablement documentation outlined here.

기본 CSPM 및 Defender CSPM 플랜 모두에서 사용할 수 있는 DevOps 보안 기능에 대한 자세한 내용은 기능 가용성에 대한 설명서를 참조하세요.

For more information about DevOps Security in Defender for Cloud, see the overview documentation.

Defender CSPM의 코드에서 클라우드까지의 보안 기능에 대한 자세한 내용은 Defender CSPM을 사용하여 리소스를 보호하는 방법을 참조하세요.

미리 보기: 컨테이너용 Defender 및 Defender CSPM의 GCP용 에이전트 없는 컨테이너 보안 태세

2024년 1월 24일

Microsoft Defender 취약성 관리를 통한 GCP 취약성 평가를 포함하여 새로운 에이전트 없는 컨테이너 보안 태세(미리 보기) 기능을 GCP에 사용할 수 있습니다. 모든 기능에 대한 자세한 내용은 Defender CSPM의 에이전트 없는 컨테이너 보안 태세 및 컨테이너용 Defender의 에이전트 없는 기능을 참조하세요.

또한 이 블로그 게시물에서 다중 클라우드에 대한 에이전트 없는 컨테이너 보안 태세 관리에 대해 읽을 수 있습니다.

미리 보기: 서버에 대한 에이전트 없는 맬웨어 검사

2024년 1월 16일

서버용 Defender 플랜 2에 포함된 새로운 기능으로 Azure VM(가상 머신), AWS EC2 인스턴스 및 GCP VM 인스턴스에 대한 클라우드용 Defender 에이전트 없는 맬웨어 검색 릴리스를 발표합니다.

이제 VM에 대한 에이전트 없는 맬웨어 검색이 에이전트 없는 검사 플랫폼에 포함됩니다. 에이전트 없는 맬웨어 검사는 Microsoft Defender 바이러스 백신 맬웨어 방지 엔진을 활용하여 악성 파일을 검사 및 검색합니다. 탐지된 위협은 보안 경고를 클라우드용 Defender 및 Defender XDR로 직접 트리거하여 해당 위협을 조사 및 수정할 수 있습니다. 에이전트 없는 맬웨어 스캐너는 마찰 없는 온보딩을 사용하여 두 번째 위협 탐지 계층으로 에이전트 기반 적용 범위를 보완하며 컴퓨터의 성능에 영향을 주지 않습니다.

서버의 에이전트 없는 맬웨어 검사 및 VM에 대한 에이전트 없는 검사에 대해 자세히 알아봅니다.

클라우드용 Defender와 Microsoft Defender XDR 간 통합 일반 공급

2024년 1월 15일

클라우드용 Defender와 Microsoft Defender XDR(이전의 Microsoft 365 Defender) 간 통합의 GA(일반 공급)를 도입합니다.

이 통합은 경쟁력 있는 클라우드 보호 기능을 SOC(보안 운영 센터)에 매일 제공합니다. 클라우드용 Microsoft Defender와 Defender XDR의 통합을 통해 SOC 팀은 클라우드, 엔드포인트, ID, Office 365 등을 비롯한 여러 핵심 요소에서 탐지를 결합하는 공격을 검색할 수 있습니다.

Microsoft Defender XDR의 경고 및 인시던트에 대해 자세히 알아봅니다.

업데이트: 에이전트 없는 VM 검사 기본 제공 Azure 역할

2024년 1월 14일**

변경 예상 날짜: 2024년 2월

Azure에서 VM에 대한 에이전트 없는 검사는 VM에서 보안 문제를 검사하고 평가하는 데 필요한 최소 권한으로 기본 제공 역할(VM 검사 운영자라고 함)을 사용합니다. 암호화된 볼륨을 사용하여 VM에 대한 관련 검사 상태 및 구성 권장 사항을 지속적으로 제공하기 위해 이 역할의 권한에 대한 업데이트가 계획되어 있습니다. 업데이트에는 Microsoft.Compute/DiskEncryptionSets/read 사용 권한의 추가가 포함됩니다. 이 권한은 VM에서 암호화된 디스크 사용량의 식별을 개선하기 위한 것에 불과합니다. It doesn't provide Defender for Cloud any more capabilities to decrypt or access the content of these encrypted volumes beyond the encryption methods already supported before this change. 이 변경은 2024년 2월 중에 진행될 것으로 예상되며 종료 시 아무런 조치도 필요하지 않습니다.

업데이트: Azure DevOps 커넥터에 대해 기본적으로 사용하도록 설정되는 DevOps 보안 끌어오기 요청 주석

2024년 1월 12일

DevOps 보안은 개발자가 프로덕션 환경으로 전환하기 전에 잠재적인 보안 취약성 및 잘못된 구성을 방지하고 수정할 수 있도록 보안 결과를 PR(끌어오기 요청)의 주석으로 노출합니다. 2024년 1월 12일부터 클라우드용 Defender에 연결된 모든 신규 및 기존 Azure DevOps 리포지토리에 대해 PR 주석이 기본적으로 사용하도록 설정됩니다.

기본적으로 PR 주석은 고 심각도 IaC(코드 제공 인프라) 결과에 대해서만 사용하도록 설정됩니다. 고객은 PR 빌드에서 실행되도록 MSDO(Microsoft Security for DevOps)를 구성하고 Azure DevOps 리포지토리 설정에서 CI 빌드에 대한 빌드 유효성 검사 정책을 사용하도록 설정해야 합니다. 고객은 DevOps 보안 창 리포지토리 구성 옵션 내에서 특정 리포지토리에 대한 PR 주석 기능을 사용하지 않도록 설정할 수 있습니다.

Azure DevOps에서 끌어오기 요청 주석 사용에 대해 자세히 알아봅니다.

사용 중단: 서버용 Defender 기본 제공 취약성 평가(Qualys) 사용 중지 경로

2024년 1월 9일**

변경 예상 날짜: 2024년 5월

Qualys에서 제공하는 서버용 Defender의 기본 제공 취약성 평가 솔루션은 사용 중지 단계에 있으며 이 과정은 2024년 5월 1일에 완료될 것입니다. 현재, Qualys에서 제공하는 취약성 평가 솔루션을 사용하고 있는 경우 통합형 Microsoft Defender 취약성 관리 솔루션으로 전환하는 것이 좋습니다.

취약성 평가 서비스를 Microsoft Defender Vulnerability Management와 통합하기로 한 결정에 대한 자세한 내용은 이 블로그 게시물을 참조하세요.

Microsoft Defender 취약성 관리 솔루션으로의 전환에 관한 일반적인 질문을 확인할 수도 있습니다.

업데이트: 클라우드용 Defender 다중 클라우드 네트워크 요구 사항

2024년 1월 3일**

변경 예상 날짜: 2024년 5월

2024년 5월부터 개선 사항을 수용하고 모든 사용자를 위해 보다 안전하고 효율적인 환경을 보장하기 위해 다중 클라우드 검색 서비스와 연결된 이전 IP 주소의 사용을 중지할 예정입니다.

서비스에 대한 중단 없는 액세스를 보장하려면 다음 섹션에서 제공하는 새 범위로 IP 허용 목록을 업데이트해야 합니다. 방화벽 설정, 보안 그룹 또는 환경에 적용할 수 있는 기타 구성을 필요한 조정해야 합니다.

이 목록은 모든 플랜에 적용되며 CSPM 기본(무료) 제품의 전체 기능에 충분합니다.

사용이 중단될 IP 주소:

검색 GCP: 104.208.29.200, 52.232.56.127
검색 AWS: 52.165.47.219, 20.107.8.204
Onboarding: 13.67.139.3

추가할 새 지역별 IP 범위:

서유럽: 52.178.17.48/28
북유럽: 13.69.233.80/28
미국 중부: 20.44.10.240/28
미국 동부 2: 20.44.19.128/28

December 2023

Date	Update
December 30	클라우드용 Defender 서비스 수준 2 이름 통합
December 24	서버용 Defender를 리소스 수준에서 GA로 사용 가능
December 21	다중 클라우드용 클래식 커넥터 사용 중지
December 21	적용 범위 통합 문서 릴리스
December 14	Azure Government 및 21Vianet에서 운영하는 Azure에서 Microsoft Defender 취약성 관리를 통해 제공되는 컨테이너 취약성 평가의 일반 공급
December 14	Microsoft Defender 취약성 관리에서 제공하는 기반 컨테이너 취약성 평가에 대한 Windows 지원의 공개 미리 보기
December 13	Trivy에서 제공하는 AWS 컨테이너 취약성 평가 사용 중지
December 13	컨테이너용 Defender 및 Defender CSPM(미리 보기)의 AWS용 에이전트 없는 컨테이너 보안 태세
December 13	오픈 소스 관계형 데이터베이스용 Defender 플랜의 PostgreSQL 유연한 서버에 대한 GA(일반 공급) 지원
December 12	Microsoft Defender 취약성 관리에서 제공하는 컨테이너 취약성 평가가 이제 Google Distroless를 지원

클라우드용 Defender 서비스 수준 2 이름 통합

2023년 12월 30일

모든 클라우드용 Defender 플랜의 레거시 서비스 수준 2 이름을 단일 새 서비스 수준 2 이름인 클라우드용 Microsoft Defender로 통합하고 있습니다.

현재 서비스 수준 2 이름에는 Azure Defender, Advanced Threat Protection, Advanced Data Security 및 Security Center의 네 가지가 있습니다. 클라우드용 Microsoft Defender의 다양한 미터는 이러한 개별 서비스 수준 2 이름으로 그룹화되어 Cost Management + 청구, 청구서 및 기타 Azure 청구 관련 도구를 사용할 때 복잡해집니다.

이 변경으로 인해 클라우드용 Defender 요금을 검토하는 프로세스가 간소화되고 비용 분석이 좀 더 명확해집니다.

원활한 전환을 위해 제품/서비스 이름, SKU 및 미터 ID의 일관성을 유지하기 위한 조치를 취했습니다. 영향을 받는 고객은 변경 내용을 전달하는 정보용 Azure 서비스 알림을 받게 됩니다.

API를 호출하여 비용 데이터를 검색하는 조직은 변경을 수용하기 위해 호출의 값을 업데이트해야 합니다. 예를 들어 이 필터 함수에서 값은 정보를 반환하지 않습니다.

"filter": {
          "dimensions": {
              "name": "MeterCategory",
              "operator": "In",
              "values": [
                  "Advanced Threat Protection",
                  "Advanced Data Security",
                  "Azure Defender",
                  "Security Center"
                ]
          }
      }

이전 서비스 수준 2 이름	새 서비스 수준 2 이름	서비스 계층 - 서비스 수준 4(변경 없음)
고급 데이터 보안	클라우드용 Microsoft Defender	SQL용 Defender
고급 위협 방어	클라우드용 Microsoft Defender	컨테이너 레지스트리용 Defender
고급 위협 방어	클라우드용 Microsoft Defender	DNS용 Defender
고급 위협 방어	클라우드용 Microsoft Defender	Key Vault용 Defender
고급 위협 방어	클라우드용 Microsoft Defender	Defender for Kubernetes
고급 위협 방어	클라우드용 Microsoft Defender	Defender for MySQL
고급 위협 방어	클라우드용 Microsoft Defender	Defender for PostgreSQL
고급 위협 방어	클라우드용 Microsoft Defender	Resource Manager용 Defender
고급 위협 방어	클라우드용 Microsoft Defender	스토리지용 Defender
Azure Defender	클라우드용 Microsoft Defender	외부 공격 표면 관리용 Defender
Azure Defender	클라우드용 Microsoft Defender	Azure Cosmos DB용 Defender
Azure Defender	클라우드용 Microsoft Defender	컨테이너용 Defender
Azure Defender	클라우드용 Microsoft Defender	Defender for MariaDB
Security Center	클라우드용 Microsoft Defender	App Service용 Defender
Security Center	클라우드용 Microsoft Defender	서버용 Defender
Security Center	클라우드용 Microsoft Defender	Defender CSPM

서버용 Defender를 리소스 수준에서 GA로 사용 가능

2023년 12월 24일

이제 구독 내의 특정 리소스에서 서버용 Defender를 관리하여 보호 전략을 완벽하게 제어할 수 있습니다. 이 기능을 사용하면 구독 수준에서 구성된 설정과 다른 사용자 지정 구성으로 특정 리소스를 구성할 수 있습니다.

리소스 수준에서 서버용 Defender를 사용하도록 설정하는 방법에 대해 자세히 알아봅니다.

다중 클라우드용 클래식 커넥터 사용 중지

2023년 12월 21일

클래식 다중 클라우드 커넥터 환경이 사용 중지되고 해당 메커니즘을 통해 만든 커넥터로 데이터가 더 이상 스트리밍되지 않습니다. 이러한 클래식 커넥터는 AWS Security Hub 및 GCP 보안 명령 센터 권장 사항을 클라우드용 Defender에 연결하고 AWS EC2를 서버용 Defender에 온보딩하는 데 사용되었습니다.

이러한 커넥터의 전체 값은 추가 비용 없이 2022년 3월부터 AWS 및 GCP에 일반 공급된 네이티브 다중 클라우드 보안 커넥터 환경으로 대체되었습니다.

새 네이티브 커넥터는 계획에 포함되며 다음과 같은 Defender 플랜을 위해 단일 계정, 여러 계정(Terraform 포함) 및 자동 프로비저닝을 사용하는 조직 온보딩 옵션을 사용하여 자동화된 온보딩 환경을 제공합니다. 무료 기본 CSPM 기능, Defender CSPM(클라우드 보안 태세 관리), 서버용 Defender, SQL용 Defender 및 컨테이너용 Defender.

적용 범위 통합 문서 릴리스

2023년 12월 21일

적용 범위 통합 문서를 사용하여 환경의 어느 부분에서 어떤 클라우드용 Defender 플랜이 활성화되어 있는지 추적할 수 있습니다. 이 통합 문서를 통해 환경과 구독이 완전히 보호되는지 확인할 수 있습니다. 자세한 적용 범위 정보에 액세스하면 다른 보호가 필요할 수 있는 영역을 식별하고 해당 영역을 해결하기 위한 조치를 취할 수도 있습니다.

Learn more about the Coverage workbook.

Azure Government 및 21Vianet에서 운영하는 Azure에서 Microsoft Defender 취약성 관리를 통해 제공되는 컨테이너 취약성 평가의 일반 공급

2023년 12월 14일

Microsoft Defender 취약성에서 제공하는 Azure 컨테이너 레지스트리의 Linux 컨테이너 이미지에 대한 VA(취약성 평가)는 Azure Government 및 21Vianet에서 운영하는 Azure에서 GA(일반 공급)로 릴리스됩니다. 이 새 릴리스는 컨테이너용 Defender 및 컨테이너 레지스트리용 Defender 플랜에서 사용할 수 있습니다.

이 변경의 일환으로 GA에 대한 새로운 권장 사항이 릴리스되었으며 보안 점수 계산에 포함되었습니다. 신규 및 업데이트된 보안 권장 사항 검토
Container image scan powered by Microsoft Defender Vulnerability Management now also incurs charges according to plan pricing. Qualys에서 제공하는 컨테이너 VA 제품과 Microsoft Defender 취약성 관리에서 제공하는 컨테이너 VA 제품 둘 다에서 검사한 이미지는 한 번만 청구됩니다.

컨테이너 취약성 평가에 대한 Qualys 권장 사항의 이름이 변경되었으며 이 릴리스 전에 구독에서 Defender for Containers를 사용하도록 설정한 고객이 계속 사용할 수 있습니다. 이 릴리스 이후 컨테이너용 Defender를 온보딩하는 신규 고객은 Microsoft Defender 취약성 관리에서 제공하는 새로운 컨테이너 취약성 평가 권장 사항만 볼 수 있습니다.

Microsoft Defender 취약성 관리에서 제공하는 기반 컨테이너 취약성 평가에 대한 Windows 지원의 공개 미리 보기

2023년 12월 14일

Windows 이미지에 대한 지원이 Azure 컨테이너 레지스트리 및 Azure Kubernetes Services용 Microsoft Defender 취약성 관리에서 제공하는 VA(취약성 평가)의 일부로 공개 미리 보기로 릴리스되었습니다.

Trivy에서 제공하는 AWS 컨테이너 취약성 평가 사용 중지

2023년 12월 13일

Trivy에서 제공하는 컨테이너 취약성 평가는 이제 2월 13일가지 완료되는 사용 중지 경로에 있습니다. 이제 이 기능은 더 이상 사용되지 않으며 기존 고객은 2월 13일까지 계속 사용할 수 있습니다. 이 기능을 사용하는 고객은 2월 13일까지 Microsoft Defender 취약성 관리에서 제공하는 새로운 AWS 컨테이너 취약성 평가로 업그레이드하는 것이 좋습니다.

컨테이너용 Defender 및 Defender CSPM(미리 보기)의 AWS용 에이전트 없는 컨테이너 보안 태세

2023년 12월 13일

새로운 에이전트 없는 컨테이너 보안 태세(미리 보기) 기능은 AWS에서 사용할 수 있습니다. 자세한 내용은 Defender CSPM의 에이전트 없는 컨테이너 보안 태세 및 컨테이너용 Defender이 에이전트 없는 기능을 참조하세요.

오픈 소스 관계형 데이터베이스용 Defender 플랜의 PostgreSQL 유연한 서버에 대한 일반 공급 지원

2023년 12월 13일

오픈 소스 관계형 데이터베이스용 Microsoft Defender 플랜에서 PostgreSQL 유연한 서버 지원의 GA(일반 공급) 릴리스를 도입합니다. Microsoft Defender for open-source relational databases provides advanced threat protection to PostgreSQL Flexible Servers, by detecting anomalous activities and generating security alerts.

오픈 소스 관계형 데이터베이스 Microsoft Defender를 사용하도록방법을 알아봅니다.

Microsoft Defender 취약성 관리에서 제공하는 컨테이너 취약성 평가가 이제 Google Distroless를 지원

2023년 12월 12일

Microsoft Defender 취약성 관리 제공하는 컨테이너 취약성 평가는 Linux OS 패키지에 대한 더 많은 범위로 확장되었으며, 이제 Google Distroless를 지원합니다.

모든 지원되는 운영 체제의 목록은 Azure에 대한 레지스트리 및 이미지 지원 - Microsoft Defender 취약성 관리에서 제공하는 취약성 평가를 참조하세요.

November 2023

Date	Update
November 30	4개의 경고가 사용 중단됨
November 27	서버용 Defender 및 Defender CSPM에서 에이전트 없는 비밀 검사 일반 공급
November 22	클라우드용 Defender에서 권한 관리 사용(미리 보기)
November 22	클라우드용 Defender와 ServiceNow 통합
November 20	컴퓨터의 SQL Server에 대한 자동 프로비전 프로세스의 일반 공급
November 15	API용 Defender 일반 공급
November 15	클라우드용 Defender가 이제 Microsoft 365 Defender와 통합됨(미리 보기)
November 15	컨테이너용 Defender 및 컨테이너 레지스트리용 Microsoft Defender에서 MDVM(Microsoft Defender 취약성 평가)이 제공하는 컨테이너 취약성 평가의 일반 공급
November 15	컨테이너 취약성 평가 권장 사항 이름 변경
November 15	이제 권장 사항에 위험 우선 순위를 지정할 수 있음
November 15	공격 경로 분석 새로운 엔진 및 광범위한 기능 향상
November 15	공격 경로의 Azure Resource Graph 테이블 체계 변경
November 15	Defender CSPM에서 GCP 지원의 일반 공급 릴리스
November 15	데이터 보안 대시보드의 일반 공급 릴리스
November 15	데이터베이스용 중요한 데이터 검색의 일반 공급 릴리스
November 6	누락된 시스템 업데이트를 찾기 위한 새 버전의 권장 사항이 이제 GA

4개의 경고가 사용 중단됨

2023년 11월 30일

품질 향상 프로세스의 일부로 다음 보안 경고는 더 이상 사용되지 않습니다.

Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)
Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)
Suspicious process termination burst (VM_TaskkillBurst)
PsExec execution detected (VM_RunByPsExec)

서버용 Defender 및 Defender CSPM에서 에이전트 없는 비밀 검사 일반 공급

2023년 11월 27일

에이전트 없는 비밀 검사는 VM 디스크에서 일반 텍스트 비밀을 식별하여 보안 클라우드 기반 VM(기상 머신)을 향상시킵니다. 에이전트 없는 비밀 검사는 검색된 결과의 우선 순위를 지정하고 횡적 이동이 발생하기 전에 횡적 이동 위험을 완화하는 데 도움이 되는 포괄적인 정보를 제공합니다. 이 사전 예방적 접근 방식은 무단 액세스를 방지하여 클라우드 환경을 안전하게 유지합니다.

서버용 Defender P2 및 Defender CSPM 플랜에 모두 포함되는 에이전트 없는 비밀 검사의 GA(일반 공급)를 도입합니다.

에이전트 없는 비밀 검사는 클라우드 API를 활용하여 디스크의 스냅샷을 캡처하고 VM의 성능에 영향을 주지 않도록 대역 외 분석을 수행합니다. 에이전트 없는 비밀 검사는 클라우드용 Defender가 Azure, AWS 및 GCP 환경의 클라우드 자산에 대해 제공하는 적용 범위를 확장하여 클라우드 보안을 강화합니다.

이 릴리스를 통해 클라우드용 Defender의 검색 기능은 이제 다른 데이터베이스 형식, 데이터 저장소 서명된 URL, 액세스 토큰 등을 지원합니다.

에이전트 없는 비밀 검사로 비밀을 관리하는 방법에 대해 알아보세요.

클라우드용 Defender에서 권한 관리 사용(미리 보기)

2023년 11월 22일

Microsoft는 이제 클라우드용 Microsoft Defender(CNAPP) 및 Microsoft Entra 사용 권한 관리(CIEM)를 사용하여 CNAPP(클라우드 네이티브 애플리케이션 보호 플랫폼) 및 CIEM(클라우드 인프라 권한 관리) 솔루션을 모두 제공합니다.

보안 관리자는 클라우드용 Defender 내에서 사용되지 않거나 과도한 액세스 권한을 중앙 위치에서 확인할 수 있습니다.

보안 팀은 추가 라이선스 요구 사항 없이 Defender CSPM(클라우드 보안 태세 관리)의 일부로 클라우드 리소스에 대한 최소 권한 액세스 제어를 추진하고 Azure, AWS 및 GCP 클라우드 환경의 권한 위험을 해결하기 위한 실행 가능한 권장 사항을 받을 수 있습니다.

클라우드용 Microsoft Defender에서 권한 관리를 사용하도록 설정(미리 보기)하는 방법을 자세히 알아봅니다.

클라우드용 Defender와 ServiceNow 통합

2023년 11월 22일

ServiceNow는 이제 클라우드용 Microsoft Defender와 통합되어 고객이 ServiceNow를 클라우드용 Defender 환경에 연결하여 비즈니스에 영향을 주는 권장 사항 수정의 우선 순위를 지정할 수 있습니다. 클라우드용 Microsoft Defender가 ITSM 모듈(인시던트 관리)과 통합됩니다. 이 연결의 일부로 고객은 클라우드용 Microsoft Defender에서 ServiceNow 티켓(권장 사항에 연결됨)을 만들거나 볼 수 있습니다.

클라우드용 Defender와 ServiceNow의 통합에 대해 자세히 알아볼 수 있습니다.

Virtual Machines의 SQL Server용 자동 프로비저닝 프로세스 플랜 일반 공급

2023년 11월 20일

2024년 8월에 도래하는 MMA(Microsoft Monitoring Agent) 사용 중단을 준비하기 위해 클라우드용 Defender는 SQL Server 대상 AMA(Azure Monitoring Agent) 자동 프로비전 프로세스를 릴리스했습니다. 새 프로세스는 모든 신규 고객에 대해 자동으로 사용하도록 설정되고 구성되며, Azure SQL VM 및 Arc 지원 SQL Server에 대한 리소스 수준 사용 기능도 제공합니다.

MMA 자동 프로비전 프로세스를 사용하는 고객은 새로운 Virtual Machines의 SQL Server용 Azure Monitoring Agent 자동 프로비전 프로세스로 마이그레이션해야 합니다. 마이그레이션 프로세스는 원활하며 모든 머신에 대한 지속적인 보호를 제공합니다.

API용 Defender 일반 공급

2023년 11월 15일

API용 Microsoft Defender의 GA(일반 공급)를 도입합니다. API용 Defender는 API 보안 위협으로부터 조직을 보호하도록 설계되었습니다.

API용 Defender를 사용하면 조직이 악의적인 행위자로부터 API 및 데이터를 보호할 수 있습니다. 조직은 API 보안 태세를 조사 및 개선하고, 취약성 수정의 우선 순위를 지정하고, 활성 실시간 위협을 신속하게 탐지하고 대응할 수 있습니다. 또한 조직은 보안 경고를 SIEM(보안 인시던트 및 이벤트 관리) 플랫폼(예: Microsoft Sentinel)에 직접 통합하여 문제를 조사하고 심사할 수 있습니다.

API용 Defender를 사용하여 API를 보호하는 방법을 알아볼 수 있습니다. API용 Microsoft Defender 정보를 자세히 알아볼 수도 있습니다.

You can also read this blog to learn more about the GA announcement.

클라우드용 Defender가 이제 Microsoft 365 Defender와 통합됨(미리 보기)

2023년 11월 15일

기업은 클라우드용 Microsoft Defender와 Microsoft Defender XDR 간의 새로운 통합을 통해 클라우드 리소스와 디바이스를 보호할 수 있습니다. 이 통합은 클라우드 리소스, 디바이스 및 ID 간에 점을 연결합니다. 이전에는 이를 위해 여러 환경이 필요했습니다.

또한 이 통합은 경쟁력 있는 클라우드 보호 기능을 SOC(보안 운영 센터)에 매일 제공합니다. SOC 팀은 Microsoft Defender XDR을 사용하여 클라우드, 엔드포인트, ID, Office 365 등을 비롯한 여러 핵심 요소에서 탐지를 결합하는 공격을 쉽게 검색할 수 있습니다.

몇 가지 주요 이점은 다음과 같습니다.

SOC 팀이 사용하기 쉬운 하나의 인터페이스: 클라우드용 Defender의 경고 및 클라우드 상관 관계가 M365D에 통합되어 SOC 팀은 이제 단일 인터페이스에서 모든 보안 정보에 액세스하여 운영 효율성을 크게 향상시킬 수 있습니다.
하나의 공격 스토리: 고객은 여러 원본의 보안 경고를 결합하는 미리 빌드된 상관 관계를 사용하여 클라우드 환경을 포함한 전체 공격 스토리를 이해할 수 있습니다.
Microsoft Defender XDR의 새 클라우드 엔터티: Microsoft Defender XDR은 이제 클라우드 리소스와 같이 클라우드용 Microsoft Defender에 고유한 새 클라우드 엔터티를 지원합니다. 고객은 VM(가상 머신) 엔터티를 디바이스 엔터티와 일치시킬 수 있으며, 해당 엔터티에서 트리거된 경고 및 인시던트를 포함하여 컴퓨터에 대한 모든 관련 정보에 대한 통합 보기를 제공할 수 있습니다.
Microsoft Security 제품용 Unified API: 이제 클라우드용 Microsoft Defender 경고 및 인시던트가 Microsoft Defender XDR의 공용 API의 일부이므로 고객은 단일 API를 사용하여 선택한 시스템으로 보안 경고 데이터를 내보낼 수 있습니다.

클라우드용 Defender와 Microsoft Defender XDR의 통합은 모든 신규 및 기존 클라우드용 Defender 고객에게 제공됩니다.

컨테이너용 Defender 및 컨테이너 레지스트리용 Microsoft Defender에서 MDVM(Microsoft Defender 취약성 평가)이 제공하는 컨테이너 취약성 평가의 일반 공급

2023년 11월 15일

MDVM(Microsoft Defender 취약성 관리)에서 제공하는 Azure 컨테이너 레지스트리의 Linux 컨테이너 이미지에 대한 VA(취약성 평가)는 컨테이너용 Defender 및 컨테이너 레지스트리용 Defender에서 GA(일반 공급)로 릴리스됩니다.

이 변경의 일환으로 GA에 대해 다음 권장 사항이 릴리스되고 이름이 변경되었으며 이제 보안 점수 계산에 포함됩니다.

현재 권장 사항 이름	새 권장 사항 이름	Description	Assessment key
컨테이너 레지스트리 이미지에서 발견된 취약성이 해결되어야 함(Microsoft Defender 취약성 관리에서 구동함)	Azure 레지스트리 컨테이너 이미지의 취약성을 해결해야 함(Microsoft Defender 취약성 관리에서 제공)	컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 취약성을 해결하면 보안 태세가 크게 향상되어 배포 전에 이미지를 안전하게 사용할 수 있습니다.	c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
컨테이너 레지스트리 이미지를 실행하면 발견된 취약성이 해결되어야 함(Microsoft Defender 취약성 관리에서 구동함)	Azure 실행 컨테이너 이미지의 취약성을 해결해야 함(Microsoft Defender 취약성 관리에서 제공)	컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 이 권장 사항은 현재 Kubernetes 클러스터에서 실행 중인 취약한 이미지에 대한 가시성을 제공합니다. 현재 실행 중인 컨테이너 이미지의 취약성을 수정하는 것은 보안 태세를 개선하고 컨테이너화된 워크로드에 대한 공격 표면을 크게 줄이는 데 중요합니다.	c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Container image scan powered by MDVM now also incur charges as per plan pricing.

Note

Qualys에서 제공하는 컨테이너 VA 제품과 MDVM에서 제공하는 컨테이너 VA 제품 모두에서 검사한 이미지는 한 번만 요금이 부과됩니다.

컨테이너 취약성 평가에 대한 다음 Qualys 권장 사항은 이름이 변경되었으며 11월 15일 이전에 구독에서 컨테이너용 Defender를 사용하도록 설정한 고객은 계속 사용할 수 있습니다. 11월 15일 이후 컨테이너용 Defender를 온보딩하는 신규 고객은 Microsoft Defender 취약성 관리에서 제공하는 새로운 컨테이너 취약성 평가 권장 사항만 볼 수 있습니다.

현재 권장 사항 이름	새 권장 사항 이름	Description	Assessment key
컨테이너 레지스트리 이미지에는 취약성 발견이 해결되어야 합니다(Qualys에 의해 구동됨).	Azure 레지스트리 컨테이너 이미지의 취약성을 해결해야 함(Qualys에서 제공)	컨테이너 이미지 취약성 평가는 레지스트리를 검사하여 보안 취약성을 확인하고 이미지마다 발견한 정보를 공개합니다. 취약성을 해결하면 컨테이너의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다.	dbd0cb49-b563-45e7-9724-889e799fa648
컨테이너 이미지를 실행하면 취약성 결과가 해결되어야 함(Qualys 제공)	Azure 실행 컨테이너 이미지의 취약성을 해결해야 함(Qualys에서 제공)	컨테이너 이미지 취약성 평가는 Kubernetes 클러스터에서 실행되는 컨테이너 이미지에 보안 취약성이 있는지 검사하고 각 이미지에 대한 자세한 결과를 노출합니다. 취약성을 해결하면 컨테이너의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다.	41503391-efa5-47ee-9282-4eff6131462c

컨테이너 취약성 평가 권장 사항 이름 변경

다음 컨테이너 취약성 평가 권장 사항의 이름이 변경되었습니다.

현재 권장 사항 이름	새 권장 사항 이름	Description	Assessment key
컨테이너 레지스트리 이미지에는 취약성 발견이 해결되어야 합니다(Qualys에 의해 구동됨).	Azure 레지스트리 컨테이너 이미지의 취약성을 해결해야 함(Qualys에서 제공)	컨테이너 이미지 취약성 평가는 레지스트리를 검사하여 보안 취약성을 확인하고 이미지마다 발견한 정보를 공개합니다. 취약성을 해결하면 컨테이너의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다.	dbd0cb49-b563-45e7-9724-889e799fa648
컨테이너 이미지를 실행하면 취약성 결과가 해결되어야 함(Qualys 제공)	Azure 실행 컨테이너 이미지의 취약성을 해결해야 함(Qualys에서 제공)	컨테이너 이미지 취약성 평가는 Kubernetes 클러스터에서 실행되는 컨테이너 이미지에 보안 취약성이 있는지 검사하고 각 이미지에 대한 자세한 결과를 노출합니다. 취약성을 해결하면 컨테이너의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다.	41503391-efa5-47ee-9282-4eff6131462c
탄력적 컨테이너 레지스트리 이미지에 취약성 발견 사항이 해결되어야 함	Azure 레지스트리 컨테이너 이미지의 취약성을 해결해야 함(Trivy에서 제공)	컨테이너 이미지 취약성 평가는 레지스트리를 검사하여 보안 취약성을 확인하고 이미지마다 발견한 정보를 공개합니다. 취약성을 해결하면 컨테이너의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다.	03587042-5d4b-44ff-af42-ae99e3c71c87

이제 권장 사항에 위험 우선 순위를 지정할 수 있음

2023년 11월 15일

이제 각 기본 보안 문제의 악용 가능성과 잠재적 비즈니스 효과를 모두 고려하여 보안 권장 사항의 우선 순위를 위험 수준에 따라 지정할 수 있습니다.

위험 수준(위험, 높음, 중간, 낮음)을 기준으로 권장 사항을 구성하면 환경 내에서 가장 중요한 위험을 해결하고, 권장 사항을 해결하여 완화할 수 있는 인터넷 노출, 데이터 민감도, 횡적 이동 가능성, 잠재적 공격 경로와 같은 실제 위험에 따라 보안 문제 수정의 우선 순위를 효율적으로 지정할 수 있습니다.

Learn more about risk prioritization.

공격 경로 분석 새로운 엔진 및 광범위한 기능 향상

2023년 11월 15일

클라우드용 Defender의 공격 경로 분석 기능에 대한 향상된 기능을 릴리스하고 있습니다.

New engine - attack path analysis has a new engine, which uses path-finding algorithm to detect every possible attack path that exists in your cloud environment (based on the data we have in our graph). 사용자 환경에서 더 많은 공격 경로를 찾고 공격자가 조직을 침해하는 데 사용할 수 있는 더 복잡하고 정교한 공격 패턴을 검색할 수 있습니다.
Improvements - The following improvements are released:
- Risk prioritization - prioritized list of attack paths based on risk (exploitability & business affect).
- Enhanced remediation - pinpointing the specific recommendations that should be resolved to actually break the chain.
- 클라우드 간 공격 경로 – 클라우드 간(한 클라우드에서 시작하여 다른 클라우드에서 끝나는 경로) 공격 경로를 탐지합니다.
- MITRE – Mapping all attack paths to the MITRE framework.
- 사용자 환경 업그레이드 - 더 강력한 기능으로 환경을 업그레이드했습니다. 고급 필터, 검색 및 공격 경로 그룹화를 사용하여 더 쉽게 심사할 수 있습니다.

공격 경로를 식별하고 수정하는 방법을 알아봅니다.

공격 경로의 Azure Resource Graph 테이블 체계 변경

2023년 11월 15일

공격 경로의 Azure Resource Graph 테이블 구성표가 업데이트됩니다. attackPathType 속성이 제거되고 다른 속성이 추가되었습니다.

Defender CSPM에서 GCP 지원의 일반 공급 릴리스

2023년 11월 15일

GCP 리소스를 지원하는 Defender CSPM의 상황에 맞는 클라우드 보안 그래프와 공격 경로 분석의 GA(일반 공급) 릴리스를 도입합니다. GCP 리소스 전반에 걸쳐 포괄적인 가시성 및 지능형 클라우드 보안을 위해 Defender CSPM 기능을 적용할 수 있습니다.

GCP 지원의 주요 기능은 다음과 같습니다.

공격 경로 분석 - 공격자가 취할 수 있는 잠재적 경로를 파악합니다.
클라우드 보안 탐색기 - 보안 그래프에서 그래프 기반 쿼리를 실행하여 보안 위험을 사전에 식별합니다.
Agentless scanning - Scan servers and identify secrets and vulnerabilities without installing an agent.
데이터 인식 보안 태세 - Google Cloud Storage 버킷에서 중요한 데이터에 대한 위험을 검색하고 수정합니다.

Defender CSPM 플랜 옵션에 대해 자세히 알아보세요.

Note

Defender CSPM에서 GCP 지원의 GA 릴리스에 대한 청구는 2024년 2월 1일에 시작됩니다.

데이터 보안 대시보드의 일반 공급 릴리스

2023년 11월 15일

이제 데이터 보안 대시보드는 Defender CSPM 플랜의 일부로 GA(일반 공급)로 사용할 수 있습니다.

데이터 보안 대시보드를 사용하면 조직의 데이터 자산, 중요한 데이터에 대한 위험, 데이터 리소스에 대한 인사이트를 볼 수 있습니다.

데이터 보안 대시보드에 대해 자세히 알아보세요.

데이터베이스용 중요한 데이터 검색의 일반 공급 릴리스

2023년 11월 15일

이제 Azure SQL 데이터베이스 및 AWS RDS 인스턴스(모든 RDBMS 버전)를 비롯한 관리되는 데이터베이스에 대한 중요한 데이터 검색이 일반 공급되며 중요한 데이터가 포함된 중요한 데이터베이스를 자동으로 검색할 수 있습니다.

사용자 환경에서 지원되는 모든 데이터 저장소에서 이 기능을 사용하려면 Defender CSPM에서 Sensitive data discovery를 사용하도록 설정해야 합니다. Defender CSPM에서 중요한 데이터 검색을 사용하도록 설정하는 방법에 대해 알아봅니다.

데이터 인식 보안 태세에서 중요한 데이터 검색이 사용되는 방법도 알아볼 수도 있습니다.

공개 미리 보기 공지: 클라우드용 Microsoft Defender에서 다중 클라우드 데이터 보안에 대한 새로 확장된 가시성.

누락된 시스템 업데이트를 찾기 위한 새 버전의 권장 사항이 이제 GA

2023년 11월 6일

컴퓨터에 최신 보안 또는 중요한 시스템 업데이트가 모두 적용되었는지 확인하기 위해 더 이상 Azure VM 및 Azure Arc 컴퓨터에 추가 에이전트가 필요하지 않습니다.

The new system updates recommendation, System updates should be installed on your machines (powered by Azure Update Manager) in the Apply system updates control, is based on the Update Manager and is now fully GA. 이 권장 사항은 설치된 에이전트 대신 모든 Azure VM 및 Azure Arc 머신에 포함된 네이티브 에이전트를 사용합니다. 새 권장 사항의 빠른 수정이 업데이트 관리자 포털에서 누락된 업데이트의 일회성 설치를 안내합니다.

누락된 시스템 업데이트를 찾기 위한 이전 버전과 새 버전의 권장 사항은 이전 버전이 더 이상 사용되지 않는 2024년 8월까지 모두 사용할 수 있습니다. 두 권장 사항 모두: System updates should be installed on your machines (powered by Azure Update Manager) 및 System updates should be installed on your machines는 동일한 컨트롤 Apply system updates에서 사용할 수 있으며 결과는 동일합니다. 따라서 보안 점수에 미치는 영향이 중복되지 않습니다.

Azure 정책의 클라우드용 Defender의 기본 제공 이니셔티브에서 이전 권장 사항을 사용하지 않도록 설정하여 새 권장 사항으로 마이그레이션하고 이전 권장 사항은 제거하는 것이 좋습니다.

권장 사항 [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)도 GA이고 필수 구성 요소이며 보안 점수에 부정적인 영향을 줍니다. 제공되는 수정을 사용하여 부정적인 효과를 수정할 수 있습니다.

새 권장 사항을 적용하려면 다음을 수행해야 합니다.

Azure가 아닌 컴퓨터를 Arc에 연결합니다.
주기적 평가 속성을 켭니다. 새 권장 사항 [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)의 빠른 수정을 사용하여 권장 사항을 수정할 수 있습니다.

Note

관련 구독 또는 커넥터에서 서버용 Defender 플랜 2를 사용하지 않는 Arc 지원 컴퓨터에서 주기적인 평가를 사용하도록 설정하면 Azure 업데이트 관리자 가격 책정이 적용됩니다. 관련 구독 또는 커넥터에서 서버용 Defender 플랜 2를 사용하는 Arc 지원 컴퓨터 또는 모든 Azure VM은 추가 비용 없이 이 기능을 사용할 수 있습니다.

October 2023

Date	Update
October 30	적응형 애플리케이션 제어의 보안 경고 심각도 변경
October 25	API용 Defender에서 오프라인 Azure API Management 수정 버전 제거
October 19	DevOps 보안 태세 관리 권장 사항을 공개 미리 보기로 제공
October 18	규정 준수 대시보드에서 CIS Azure Foundations Benchmark v2.0.0 릴리스

적응형 애플리케이션 제어의 보안 경고 심각도 변경

공지 날짜: 2023년 10월 30일

서버용 Defender의 보안 경고 품질 개선 프로세스의 일환으로 적응형 애플리케이션 제어 기능의 일부로 다음 보안 경고의 심각도가 "정보"로 변경됩니다.

경고[경고 유형]	Alert Description
적응형 애플리케이션 제어 정책 위반이 감사되었습니다.[VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited]	아래 사용자가 이 컴퓨터에서 조직의 애플리케이션 제어 정책을 위반하는 애플리케이션을 실행했습니다. 이로 인해 컴퓨터가 맬웨어 또는 애플리케이션 취약성에 노출될 수 있습니다.

To keep viewing this alert in the "Security alerts" page in the Microsoft Defender for Cloud portal, change the default view filter Severity to include informational alerts in the grid.

API용 Defender에서 오프라인 Azure API Management 수정 버전 제거

2023년 10월 25일

API용 Defender에서 Azure API Management API 수정 버전에 대한 지원을 업데이트했습니다. 오프라인 수정 버전은 더 이상 온보딩된 API용 Defender 인벤토리에 표시되지 않으며 더 이상 API용 Defender에 온보딩된 것으로 표시되지 않습니다. 오프라인 수정 버전은 트래픽 전송을 허용하지 않으며 보안 관점에서 위험을 초래하지 않습니다.

DevOps 보안 태세 관리 권장 사항을 공개 미리 보기로 제공

2023년 10월 19일

이제 Azure DevOps 또는 GitHub용 커넥터를 사용하는 모든 고객을 위한 공개 미리 보기에서 새 DevOps 보안 태세 관리 권장 사항을 사용할 수 있습니다. DevOps 보안 태세 관리는 보안 구성 및 액세스 제어의 약점을 발견하여 DevOps 환경의 공격 표면을 줄이는 데 도움이 됩니다. DevOps 보안 태세 관리에 대해 자세히 알아봅니다.

규정 준수 대시보드에서 CIS Azure Foundations Benchmark v2.0.0 릴리스

2023년 10월 18일

이제 클라우드용 Microsoft Defender는 규정 준수 대시보드의 최신 CIS Azure Security Foundations Benchmark 버전 2.0.0과 Azure Policy의 기본 제공 정책 이니셔티브를 지원합니다. 클라우드용 Microsoft Defender의 버전 2.0.0 릴리스는 Microsoft, CIS(Center for Internet Security), 사용자 커뮤니티 간의 공동 작업입니다. 버전 2.0.0은 이제 90개 이상의 기본 제공 Azure 정책을 포함하고 클라우드용 Microsoft Defender 및 Azure Policy에서 이전 버전 1.4.0 및 1.3.0 및 1.0을 대체합니다. For more information, you can check out this blog post.

September 2023

Date	Update
September 30	Log Analytics 일일 한도로 변경
September 27	공개 미리 보기로 제공되는 데이터 보안 대시보드
September 21	미리 보기 릴리스: 컴퓨터의 SQL Server에 대한 새로운 자동 프로비전 프로세스
September 20	클라우드용 Defender의 Azure DevOps 경고에 대한 GitHub Advanced Security
September 11	이제 API용 Defender 권장 사항에 대해 제외 기능 사용 가능
September 11	API용 Defender 검색에 대한 샘플 경고 만들기
September 6	미리 보기 릴리스: 이제 Microsoft Defender 취약성 관리가 제공하는 컨테이너 취약성 평가에서 풀(pull) 시 검사 지원
September 6	규정 준수에서 CIS(Center for Internet Security) 표준의 명명 형식이 업데이트됨
September 5	PaaS 데이터베이스에 대한 중요한 데이터 검색(미리 보기)
September 1	GA(일반 공급): 스토리지용 Defender의 맬웨어 검사

Log Analytics 일일 한도로 변경

Azure Monitor는 Log Analytics 작업 영역에서 수집되는 데이터에 대한 일일 한도를 설정하는 기능을 제공합니다. 그러나 클라우드용 Defender 보안 이벤트는 현재 이러한 제외에서 지원되지 않습니다.

Log Analytics 일일 한도는 더 이상 다음 데이터 형식 집합을 제외하지 않습니다.

WindowsEvent
SecurityAlert
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent
WindowsFirewall
MaliciousIPCommunication
LinuxAuditLog
SysmonEvent
ProtectionStatus
Update
UpdateSummary
CommonSecurityLog
Syslog

일별 한도가 충족되면 모든 청구 가능 데이터 형식이 제한됩니다. 이렇게 변경하면 예상보다 높은 데이터 수집으로 인한 비용을 완전히 포함할 수 있는 기능이 향상됩니다.

드용 Microsoft Defender가 적용된 작업 영역에 대해 자세히 알아봅니다.

공개 미리 보기에서 사용 가능한 데이터 보안 대시보드

2023년 9월 27일

데이터 보안 대시보드는 이제 Defender CSPM 플랜의 일부로 공개 미리 보기에서 사용할 수 있습니다. 데이터 보안 대시보드는 하이브리드 클라우드 워크로드 전반에 걸쳐 데이터에 대한 경고 및 잠재적 공격 경로의 우선 순위를 지정하여 민감한 데이터에 대한 심각한 위험을 조명하는 대화형 데이터 중심 대시보드입니다. 데이터 보안 대시보드에 대해 자세히 알아보세요.

미리 보기 릴리스: 새로운 Virtual Machines의 SQL Server용 자동 프로비전 프로세스 플랜

2023년 9월 21일

MMA(Microsoft Monitoring Agent)는 2024년 8월에 더 이상 사용되지 않습니다. 클라우드용 Defender는 MMA를 SQL Server 대상 Azure Monitoring Agent 자동 프로비저닝 프로세스의 릴리스로 대체하여 전략을 업데이트했습니다.

미리 보기 중에 Azure Monitor Agent(미리 보기) 옵션과 함께 MMA 자동 프로비저닝 프로세스를 사용하는 고객은 Virtual Machines의 SQL Server용 Azure Monitoring Agent(미리 보기) 자동 프로비전 프로세스로 마이그레이션해야 합니다. 마이그레이션 프로세스는 원활하며 모든 머신에 대한 지속적인 보호를 제공합니다.

자세한 내용은 SQL Server 대상 Azure Monitoring Agent 자동 프로비저닝 프로세스로 마이그레이션을 참조하세요.

클라우드용 Defender의 Azure DevOps 경고에 대한 GitHub Advanced Security

2023년 9월 20일

이제 클라우드용 Defender에서 CodeQL, 비밀 및 종속성과 관련된 Azure DevOps(GHAzDO) 경고에 대한 GitHub Advanced Security를 볼 수 있습니다. 결과는 DevOps 페이지 및 권장 사항에 표시됩니다. 이러한 결과를 보려면 GHAzDO 사용 리포지토리를 클라우드용 Defender에 온보딩합니다.

Azure DevOps용 GitHub Advanced Security에 대해 자세히 알아보세요.

이제 API용 Defender 권장 사항에 대해 제외 기능 사용 가능

2023년 9월 11일

이제 다음 API용 Defender 보안 권장 사항에 대한 권장 사항을 제외할 수 있습니다.

Recommendation	설명 및 관련 정책	Severity
(미리 보기) 사용하지 않는 API 엔드포인트는 사용하지 않도록 설정되고 Azure API Management 서비스에서 제거되어야 함	보안 모범 사례로, 30일 동안 트래픽을 수신하지 않은 API 엔드포인트는 사용되지 않는 것으로 간주되며 Azure API Management 서비스에서 제거되어야 합니다. 사용하지 않는 API 엔드포인트를 유지하면 보안 위험이 발생할 수 있습니다. 이러한 API는 Azure API Management 서비스에서 사용되지 않지만 실수로 활성 상태로 남겨진 API일 수 있습니다. 이러한 API는 일반적으로 최신 보안 적용을 받지 못합니다.	Low
(미리 보기): Azure API Management의 API 엔드포인트를 인증해야 함	Azure API Management 내에 게시된 API 엔드포인트는 보안 위험을 최소화하기 위해 인증을 적용해야 합니다. 인증 메커니즘이 잘못 구현되거나 누락된 경우가 있습니다. 이를 통해 공격자는 구현 결함을 악용하고 데이터에 액세스할 수 있습니다. Azure API Management 게시된 API의 경우 이 권장 사항은 Azure API Management 내에 구성된 구독 키, JWT, 클라이언트 인증서를 통한 인증 실행을 평가합니다. API 호출 중에 이러한 인증 메커니즘 중 어느 것도 실행되지 않으면 API가 해당 권장 사항을 수신합니다.	High

클라우드용 Defender의 권장 사항 제외에 대해 자세히 알아보세요.

API용 Defender 검색에 대한 샘플 경고 만들기

2023년 9월 11일

이제 API용 Defender 공개 미리 보기의 일부로 릴리스된 보안 검색에 대한 샘플 경고를 생성할 수 있습니다. 클라우드용 Defender에서 샘플 경고를 생성하는 방법에 대해 자세히 알아보세요.

미리 보기 릴리스: 이제 Microsoft Defender 취약성 관리가 제공하는 컨테이너 취약성 평가에서 풀(pull) 시 검사 지원

2023년 9월 6일

Microsoft Defender 취약성 관리 기반 컨테이너 취약성 평가는 이제 ACR에서 가져온 이미지를 검사하기 위한 추가 트리거를 지원합니다. 새로 추가된 이 트리거는 지난 90일 동안 ACR로 푸시된 기존 트리거 검사 이미지와 AKS에서 현재 실행 중인 이미지 외에도 활성 이미지에 대한 추가 적용 범위를 제공합니다.

새로운 트리거는 오늘부터 출시되며 9월 말까지 모든 고객에게 제공될 예정입니다.

Learn more.

규정 준수에서 CIS(Center for Internet Security) 표준의 명명 형식이 업데이트됨

2023년 9월 6일

규정 준수 대시보드에서 CIS(Center for Internet Security) 기초 벤치마크의 명명 형식이 [Cloud] CIS [version number]에서 CIS [Cloud] Foundations v[version number]로 변경됩니다. 다음 표를 참조하세요.

Current Name	New Name
Azure CIS 1.1.0	CIS Azure Foundations v1.1.0
Azure CIS 1.3.0	CIS Azure Foundations v1.3.0
Azure CIS 1.4.0	CIS Azure Foundations v1.4.0
AWS CIS 1.2.0	CIS AWS Foundations v1.2.0
AWS CIS 1.5.0	CIS AWS Foundations v1.5.0
GCP CIS 1.1.0	CIS GCP Foundations v1.1.0
GCP CIS 1.2.0	CIS GCP Foundations v1.2.0

규정 준수를 개선하는 방법을 알아보세요.

PaaS 데이터베이스에 대한 중요한 데이터 검색(미리 보기)

2023년 9월 5일

이제 PaaS 데이터베이스(모든 유형의 Azure SQL Database 및 Amazon RDS 인스턴스)에서 원활하게 중요한 데이터를 검색하기 위한 데이터 인식 보안 태세 기능이 공개 미리 보기로 제공됩니다. 이 공개 미리 보기를 사용하면 중요한 데이터가 어디에 있든 중요한 데이터와 해당 데이터베이스에 있는 데이터 유형에 대한 맵을 만들 수 있습니다.

Azure 및 AWS 데이터베이스에 대한 중요한 데이터 검색은 클라우드 개체 스토리지 리소스(Azure Blob Storage, AWS S3 버킷, GCP 스토리지 버킷)에 대해 이미 공개적으로 사용 가능한 공유 분류 및 구성에 추가되며 단일 구성 및 사용 설정 환경을 제공합니다.

데이터베이스는 매주 검사됩니다. sensitive data discovery를 사용하도록 설정하면 검색이 24시간 이내에 실행됩니다. 결과는 클라우드 보안 탐색기에서 확인하거나 중요한 데이터가 포함된 관리형 데이터베이스에 대한 새로운 공격 경로를 검토하여 확인할 수 있습니다.

데이터베이스에 대한 데이터 인식 보안 태세는 Defender CSPM 계획을 통해 사용할 수 있으며 sensitive data discovery 옵션을 사용하도록 설정한 구독에서는 자동으로 사용하도록 설정됩니다.

다음 문서에서 데이터 인식 보안 태세에 대해 자세히 알아볼 수 있습니다.

GA(일반 공급): 스토리지용 Defender의 맬웨어 검사

2023년 9월 1일

이제 맬웨어 검사가 스토리지용 Defender에 대한 추가 기능으로 일반 공급(GA)됩니다. 스토리지용 Defender의 맬웨어 검사는 Microsoft Defender 바이러스 백신 기능을 통해 업로드된 콘텐츠에 대한 전체 맬웨어 검사를 거의 실시간으로 수행하여 악성 콘텐츠로부터 스토리지 계정을 보호하는 데 도움이 됩니다. 신뢰할 수 없는 콘텐츠를 처리하기 위한 보안 및 규정 준수 요구 사항을 충족하도록 설계되었습니다. 맬웨어 검사 기능은 대규모 설정이 가능하며 대규모 응답 자동화를 지원하는 에이전트 없는 SaaS 솔루션입니다.

스토리지용 Defender의 맬웨어 검사에 대해 자세히 알아보세요.

맬웨어 검사는 데이터 사용량 및 예산에 따라 가격이 책정됩니다. 청구는 2023년 9월 3일에 시작됩니다. Visit the pricing page for more information.

이전 계획을 사용하는 경우 맬웨어 검사를 사용하도록 설정하려면 새 계획으로 사전에 마이그레이션해야 합니다.

클라우드용 Microsoft Defender 공지 블로그 게시물을 읽어보세요.

August 2023

8월의 업데이트는 다음과 같습니다.

Date	Update
August 30	컨테이너용 Defender: Kubernetes용 에이전트 없는 검색
August 22	권장 사항 릴리스: 맬웨어 검사 및 중요한 데이터 위협 탐지과 함께 스토리지용 Microsoft Defender를 사용하도록 설정해야 함
August 17	클라우드용 Defender 보안 경고의 확장 속성은 활동 로그에서 마스킹됨
August 15	Defender CSPM의 GCP 지원 미리 보기 릴리스
August 7	서버용 Defender의 새로운 보안 경고 플랜 2: Azure 가상 머신 확장을 악용하는 잠재적 공격 탐지
August 1	클라우드용 Defender 플랜에 대한 비즈니스 모델 및 가격 책정 업데이트

컨테이너용 Defender: Kubernetes용 에이전트 없는 검색

2023년 8월 30일

컨테이너용 Defender: Kubernetes용 에이전트 없는 검색을 소개하게 되어 기쁩니다. 이번 릴리스는 컨테이너 보안의 중요한 진전으로, Kubernetes 환경에 대한 고급 인사이트와 포괄적인 인벤토리 기능을 제공합니다. 새로운 컨테이너 제품은 클라우드용 Defender의 상황에 맞는 보안 그래프를 통해 제공됩니다. 이번 최신 업데이트에서 기대할 수 있는 사항은 다음과 같습니다.

에이전트 없는 Kubernetes 검색
포괄적인 인벤토리 기능
Kubernetes별 보안 인사이트
클라우드 보안 탐색기를 사용한 향상된 위험 헌팅

이제 모든 컨테이너용 Defender 고객이 Kubernetes에 대한 에이전트 없는 검색을 사용할 수 있습니다. 지금 바로 이러한 고급 기능을 사용할 수 있습니다. 구독을 업데이트하여 전체 확장을 사용하도록 설정하고 최신 추가 사항과 기능의 혜택을 누리는 것이 좋습니다. 컨테이너용 Defender 구독의 환경 및 설정 창으로 이동하여 확장을 사용하도록 설정하세요.

Note

최신 추가 사항을 사용하도록 설정해도 컨테이너용 Defender 활성 고객에게는 새로운 비용이 발생하지 않습니다.

자세한 내용은 컨테이너용 Microsoft Defender의 컨테이너 보안 개요를 참조하세요.

권장 사항 릴리스: 맬웨어 검사 및 중요한 데이터 위협 탐지과 함께 스토리지용 Microsoft Defender를 사용하도록 설정해야 함

2023년 8월 22일

스토리지용 Defender의 새로운 권장 사항이 릴리스되었습니다. 이 권장 사항은 맬웨어 검사 및 중요한 데이터 위협 탐지 기능을 사용하여 구독 수준에서 스토리지용 Defender를 사용하도록 설정합니다.

Recommendation	Description
맬웨어 검사 및 중요한 데이터 위협 탐지과 함께 스토리지용 Microsoft Defender를 사용하도록 설정해야 함	스토리지용 Microsoft Defender는 스토리지 계정에 대한 잠재적 위협을 탐지합니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다. 새 스토리지용 Defender 플랜에는 맬웨어 검사 및 중요한 데이터 위협 탐지가 포함됩니다. 이 플랜은 또한 적용 범위와 비용을 더 잘 제어할 수 있도록 예측 가능한 가격 책정 구조(스토리지 계정당)를 제공합니다. 대규모의 간단한 에이전트 없는 설정으로 구독 수준에서 사용하도록 설정하면 해당 구독에 따라 기존 및 새로 만든 모든 스토리지 계정이 자동으로 보호됩니다. 보호된 구독에서 특정 스토리지 계정을 제외할 수도 있습니다.

Recommendation

Description

맬웨어 검사 및 중요한 데이터 위협 탐지과 함께 스토리지용 Microsoft Defender를 사용하도록 설정해야 함

스토리지용 Microsoft Defender는 스토리지 계정에 대한 잠재적 위협을 탐지합니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다. 새 스토리지용 Defender 플랜에는 맬웨어 검사 및 중요한 데이터 위협 탐지가 포함됩니다. 이 플랜은 또한 적용 범위와 비용을 더 잘 제어할 수 있도록 예측 가능한 가격 책정 구조(스토리지 계정당)를 제공합니다. 대규모의 간단한 에이전트 없는 설정으로 구독 수준에서 사용하도록 설정하면 해당 구독에 따라 기존 및 새로 만든 모든 스토리지 계정이 자동으로 보호됩니다. 보호된 구독에서 특정 스토리지 계정을 제외할 수도 있습니다.

이 새로운 권장 사항은 현재 권장 사항 Microsoft Defender for Storage should be enabled(평가 키 1be22853-8ed1-4005-9907-ddad64cb1417)을 대체합니다. 그러나 이 권장 사항은 Azure Government 클라우드에서 계속 사용할 수 있습니다.

스토리지용 Microsoft Defender에 대해 자세히 알아보세요.

클라우드용 Defender 보안 경고의 확장 속성은 활동 로그에서 마스킹됨

2023년 8월 17일

최근 보안 경고와 활동 로그가 통합되는 방식을 변경했습니다. 중요한 고객 정보를 더 잘 보호하기 위해 활동 로그에 이 정보를 더 이상 포함하지 않습니다. 대신 별표로 마스킹합니다. 그러나 이 정보는 경고 API, 연속 내보내기, 클라우드용 Defender 포털을 통해 계속 사용할 수 있습니다.

활동 로그를 사용하여 SIEM 솔루션으로 경고를 내보내는 고객은 클라우드용 Defender 보안 경고를 내보내는 데 권장되는 방법이 아니므로 다른 솔루션을 사용하는 것이 좋습니다.

클라우드용 Defender 보안 경고를 SIEM, SOAR 및 기타 타사 애플리케이션으로 내보내는 방법에 대한 지침은 SIEM, SOAR 또는 IT Service Management 솔루션에 대한 Stream 경고를 참조하세요.

Defender CSPM의 GCP 지원 미리 보기 릴리스

2023년 8월 15일

GCP 리소스를 지원하는 Defender CSPM의 상황에 맞는 클라우드 보안 그래프와 공격 경로 분석의 미리 보기 릴리스를 도입합니다. GCP 리소스 전반에 걸쳐 포괄적인 가시성 및 지능형 클라우드 보안을 위해 Defender CSPM 기능을 적용할 수 있습니다.

GCP 지원의 주요 기능은 다음과 같습니다.

공격 경로 분석 - 공격자가 취할 수 있는 잠재적 경로를 파악합니다.
클라우드 보안 탐색기 - 보안 그래프에서 그래프 기반 쿼리를 실행하여 보안 위험을 사전에 식별합니다.
Agentless scanning - Scan servers and identify secrets and vulnerabilities without installing an agent.
데이터 인식 보안 태세 - Google Cloud Storage 버킷에서 중요한 데이터에 대한 위험을 검색하고 수정합니다.

Defender CSPM 플랜 옵션에 대해 자세히 알아보세요.

서버용 Defender의 새로운 보안 경고 플랜 2: Azure 가상 머신 확장을 악용하는 잠재적 공격 탐지

2023년 8월 7일

이 새로운 일련의 경고는 Azure 가상 머신 확장의 의심스러운 활동을 탐지하는 데 중점을 두고 가상 머신을 손상시키고 악의적인 활동을 수행하려는 공격자의 시도에 대한 인사이트를 제공합니다.

이제 서버용 Microsoft Defender는 가상 머신 확장의 의심스러운 활동을 탐지하여 워크로드 보안을 더 잘 적용할 수 있습니다.

Azure 가상 머신 확장은 가상 머신에서 배포 후 실행되고 구성, 자동화, 모니터링, 보안 등의 기능을 제공하는 소규모 애플리케이션입니다. 확장은 강력한 도구이지만 위협 행위자가 다음과 같은 다양한 악의적인 의도에 사용할 수 있습니다.

데이터 수집 및 모니터링의 경우
높은 권한이 있는 코드 실행 및 구성 배포의 경우
자격 증명을 재설정하고 관리 사용자를 만들기 위한 것입니다.
디스크 암호화의 경우

다음은 새 경고에 대한 테이블입니다.

경고(경고 유형)	Description	MITRE tactics	Severity
구독에 GPU 확장을 설치하는 데 의심스러운 오류 발생(미리 보기) (VM_GPUExtensionSuspiciousFailure)	지원되지 않는 VM에 GPU 확장을 설치하려는 의심스러운 의도가 있습니다. 이 확장은 그래픽 프로세서가 장착된 가상 머신에 설치해야 하며, 이 경우 가상 머신에는 그래픽 프로세서가 장착되어 있지 않습니다. 이러한 실패는 악의적인 공격자가 암호화 마이닝 목적으로 해당 확장을 여러 번 설치할 때 나타날 수 있습니다.	Impact	Medium
가상 머신에서 의심스러운 GPU 확장 설치가 탐지됨(미리 보기) (VM_GPUDriverExtensionUnusualExecution) 이 경고는 2023년 7월에 릴리스되었습니다.	구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 GPU 확장 설치가 탐지되었습니다. 공격자는 GPU 드라이버 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에 GPU 드라이버를 설치하고 크립토재킹을 수행할 수 있습니다. 이 활동은 보안 주체의 동작이 일반적인 패턴에서 벗어나므로 의심스러운 것으로 간주됩니다.	Impact	Low
가상 머신에서 의심스러운 스크립트가 포함된 실행 명령이 탐지됨(미리 보기) (VM_RunCommandSuspiciousScript)	구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 스크립트가 포함된 실행 명령이 탐지되었습니다. 공격자는 실행 명령을 사용하여 Azure Resource Manager를 통해 가상 머신에서 높은 권한으로 악성 코드를 실행할 수 있습니다. 해당 스크립트는 특정 부분이 잠재적으로 악성인 것으로 식별되어 의심스러운 것으로 간주됩니다.	Execution	High
가상 머신에서 의심스러운 무단 실행 명령 사용이 탐지됨(미리 보기) (VM_RunCommandSuspiciousFailure)	실행 명령의 의심스러운 무단 사용이 실패했으며 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 탐지되었습니다. 공격자는 실행 명령을 사용하여 Azure Resource Manager를 통해 가상 머신에서 높은 권한으로 악성 코드를 실행하려고 시도할 수 있습니다. 해당 작업은 이전에 흔히 볼 수 없었으므로 의심스러운 것으로 간주됩니다.	Execution	Medium
가상 머신에서 의심스러운 실행 명령 사용이 탐지됨(미리 보기) (VM_RunCommandSuspiciousUsage)	구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 실행 명령 사용이 탐지되었습니다. 공격자는 실행 명령을 사용하여 Azure Resource Manager를 통해 가상 머신에서 높은 권한으로 악성 코드를 실행할 수 있습니다. 해당 작업은 이전에 흔히 볼 수 없었으므로 의심스러운 것으로 간주됩니다.	Execution	Low
가상 머신에서 여러 모니터링 또는 데이터 수집 확장의 의심스러운 사용이 탐지됨(미리 보기) (VM_SuspiciousMultiExtensionUsage)	구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 여러 모니터링 또는 데이터 수집 확장의 의심스러운 사용이 감지되었습니다. 공격자는 구독에서 데이터 수집, 네트워크 트래픽 모니터링 등에 대해 이러한 확장을 악용할 수 있습니다. 해당 사용은 이전에 흔히 볼 수 없었으므로 의심스러운 것으로 간주됩니다.	Reconnaissance	Medium
가상 머신에서 의심스러운 디스크 암호화 확장 설치가 탐지됨(미리 보기) (VM_DiskEncryptionSuspiciousUsage)	구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 디스크 암호화 확장 설치가 탐지되었습니다. 공격자는 랜섬웨어 활동을 수행하기 위해 디스크 암호화 확장을 악용하여 Azure Resource Manager를 통해 가상 머신에 전체 디스크 암호화를 배포할 수 있습니다. 해당 작업은 이전에 일반적으로 볼 수 없었고 확장 설치 수가 많으므로 의심스러운 것으로 간주됩니다.	Impact	Medium
가상 머신에서 의심스러운 VM 액세스 확장 사용이 탐지됨(미리 보기) (VM_VMAccessSuspiciousUsage)	가상 머신에서 의심스러운 VM 액세스 확장 사용이 탐지되었습니다. 공격자는 VM 액세스 확장을 악용하여 액세스 권한을 재설정하거나 관리자를 관리하여 높은 권한이 있는 가상 머신에 액세스하고 이를 손상할 수 있습니다. 이 작업은 보안 주체의 행동이 일반적인 패턴에서 벗어나고 확장 설치 수가 많으므로 의심스러운 것으로 간주됩니다.	Persistence	Medium
가상 머신에서 의심스러운 스크립트가 포함된 DSC(Desired State Configuration) 확장이 탐지됨(미리 보기) (VM_DSCExtensionSuspiciousScript)	구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 스크립트가 포함된 DSC(Desired State Configuration) 확장이 탐지되었습니다. 공격자는 DSC(Desired State Configuration) 확장을 사용하여 가상 머신에서 높은 권한으로 지속성 메커니즘, 악성 스크립트 등과 같은 악의적인 구성을 배포할 수 있습니다. 해당 스크립트는 특정 부분이 잠재적으로 악성인 것으로 식별되어 의심스러운 것으로 간주됩니다.	Execution	High
가상 머신에서 DSC(Desired State Configuration) 확장의 의심스러운 사용이 탐지됨(미리 보기) (VM_DSCExtensionSuspiciousUsage)	구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 DSC(Desired State Configuration) 확장의 의심스러운 사용이 탐지되었습니다. 공격자는 DSC(Desired State Configuration) 확장을 사용하여 가상 머신에서 높은 권한으로 지속성 메커니즘, 악성 스크립트 등과 같은 악의적인 구성을 배포할 수 있습니다. 이 작업은 보안 주체의 행동이 일반적인 패턴에서 벗어나고 확장 설치 수가 많으므로 의심스러운 것으로 간주됩니다.	Impact	Low
가상 머신에서 의심스러운 스크립트가 포함된 사용자 지정 스크립트 확장이 탐지됨(미리 보기) (VM_CustomScriptExtensionSuspiciousCmd) (이 경고는 이미 존재하며 더욱 향상된 논리 및 탐지 방법을 통해 개선되었습니다.)	구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 스크립트가 포함된 사용자 지정 스크립트 확장이 탐지되었습니다. 공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 높은 권한으로 악성 코드를 실행할 수 있습니다. 해당 스크립트는 특정 부분이 잠재적으로 악성인 것으로 식별되어 의심스러운 것으로 간주됩니다.	Execution	High

서버용 Defender의 확장 기반 경고를 참조하세요.

전체 경고 목록은 클라우드용 Microsoft Defender의 모든 보안 경고에 대한 참조 테이블을 참조하세요.

클라우드용 Defender 플랜에 대한 비즈니스 모델 및 가격 책정 업데이트

2023년 8월 1일

클라우드용 Microsoft Defender에는 서비스 계층 보호를 제공하는 세 가지 플랜이 있습니다.

Key Vault용 Defender
Resource Manager용 Defender
DNS용 Defender

이러한 플랜은 지출 예측 가능성에 대한 고객 피드백을 처리하고 전체 비용 구조를 간소화하기 위해 다양한 가격 책정과 패키징을 갖춘 새로운 비즈니스 모델로 전환되었습니다.

비즈니스 모델 및 가격 책정 변경 요약:

Key-Vault용 Defender, Resource Manager용 Defender, DNS용 Defender의 기존 고객은 새 비즈니스 모델과 가격 책정으로 적극적으로 전환하지 않는 한 현재 비즈니스 모델과 가격 책정을 유지합니다.

Resource Manager용 Defender: 이 플랜에는 월별 구독당 고정 가격이 적용됩니다. 고객은 Resource Manager용 Defender의 새로운 구독별 모델을 선택하여 새로운 비즈니스 모델로 전환할 수 있습니다.

Resource Manager용 Defender: 이 플랜에는 월별 구독당 고정 가격이 적용됩니다. 고객은 Resource Manager용 Defender의 새로운 구독별 모델을 선택하여 새로운 비즈니스 모델로 전환할 수 있습니다.
Key Vault용 Defender: 이 플랜에는 초과분 요금 없이 월별 자격 증명 모음당 고정 가격이 적용됩니다. 고객은 Key Vault용 Defender의 새로운 자격 증명 모음별 모델을 선택하여 새로운 비즈니스 모델로 전환할 수 있습니다.
DNS용 Defender: 서버용 Defender 플랜 2 고객은 추가 비용 없이 서버용 Defender 플랜 2의 일부로 DNS용 Defender 값에 액세스할 수 있습니다. 서버용 Defender 플랜 2와 DNS용 Defender를 모두 보유한 고객에게는 더 이상 DNS용 Defender에 대한 요금이 청구되지 않습니다. DNS용 Defender는 더 이상 독립 실행형 플랜으로 제공되지 않습니다.

클라우드용 Defender 가격 책정 페이지에서 이러한 플랜의 가격 책정에 대해 자세히 알아보세요.

July 2023

7월 업데이트는 다음과 같습니다.

Date	Update
July 31	Defender for Containers 및 Defender for Container Registries의 Microsoft Defender 취약성 관리 의해 구동되는 컨테이너 취약성 평가의 미리 보기 릴리스
July 30	이제 Defender CSPM의 에이전트 없는 컨테이너 태세 일반 공급
July 20	Linux를 위한 엔드포인트용 Defender에 대한 자동 업데이트 관리
July 18	서버용 Defender의 가상 머신에 대한 에이전트 없는 비밀 검사 P2 및 Defender CSPM
July 12	서버용 Defender 플랜 2의 새로운 보안 경고: Azure VM GPU 드라이버 확장을 활용하여 잠재적 공격 탐지
July 9	특정 취약성 결과를 사용하지 않도록 설정 지원
July 1	이제 데이터 인식 보안 태세가 일반 공급됨

Microsoft Defender 취약성 관리 사용하여 컨테이너 취약성 평가 미리 보기 릴리스

2023년 7월 31일

Defender for Containers 및 Defender for Container Registries의 Microsoft Defender 취약성 관리 통해 구동되는 Azure 컨테이너 레지스트리의 Linux 컨테이너 이미지에 대한 VA(취약성 평가) 릴리스를 발표합니다. 새 컨테이너 VA 제품은 컨테이너용 Defender 및 컨테이너 레지스트리용 Defender 모두에서 Qualys가 제공하는 기존 컨테이너 VA 제품과 함께 제공되며 컨테이너 이미지에 대한 일별 재검사, 악용 가능성 정보, OS 및 프로그래밍 언어(SCA) 지원 등이 포함되어 있습니다.

이 새로운 제품은 오늘부터 출시되며 8월 7일까지 모든 고객에게 제공될 예정입니다.

Microsoft Defender 취약성 관리 사용하여 컨테이너 취약성 평가에 대해 자세히 알아봅니다.

이제 Defender CSPM의 에이전트 없는 컨테이너 태세 일반 공급

2023년 7월 30일

이제 에이전트 없는 컨테이너 상태 기능은 Defender CSPM(클라우드 보안 상태 관리) 계획의 일부로 GA(일반 공급)됩니다.

Defender CSPM의 에이전트 없는 컨테이너 태세에 대해 자세히 알아보세요.

Linux를 위한 엔드포인트용 Defender에 대한 자동 업데이트 관리

2023년 7월 20일

기본적으로 클라우드용 Defender는 MDE.Linux 확장이 온보딩된 Linux를 위한 엔드포인트용 Defender 에이전트를 업데이트하려고 시도합니다. 이번 릴리스에서는 해당 설정을 관리하고 기본 구성에서 옵트아웃하여 업데이트 주기를 수동으로 관리할 수 있습니다.

서버용 Defender의 가상 머신에 대한 에이전트 없는 비밀 검사 P2 및 Defender CSPM

2023년 7월 18일

이제 서버용 Defender P2 및 Defender CSPM에서 에이전트 없는 검사의 일부로 비밀 검사를 사용할 수 있습니다. 이 기능은 Azure 또는 AWS 리소스의 가상 머신에 저장된 관리되지 않는 비밀과 안전하지 않은 비밀을 검색하는 데 도움이 되며 네트워크에서 횡적으로 이동하는 데 사용할 수 있습니다. 비밀이 탐지되면 클라우드용 Defender는 머신 성능에 영향을 주지 않고 수평 이동 위험을 최소화하기 위해 우선 순위를 지정하고 실행 가능한 수정 단계를 수행하는 데 도움을 줄 수 있습니다.

비밀 검색을 사용하여 비밀을 보호하는 방법에 대한 자세한 내용은 에이전트 없는 비밀 검사를 사용하여 비밀 관리를 참조하세요.

서버용 Defender 플랜 2의 새로운 보안 경고: Azure VM GPU 드라이버 확장을 활용하여 잠재적 공격 탐지

2023년 7월 12일

이 경고는 Azure 가상 머신 GPU 드라이버 확장을 활용하여 의심스러운 활동을 식별하는 데 중점을 두고 가상 머신을 손상시키려는 공격자의 시도에 대한 인사이트를 제공합니다. 경고는 의심스러운 GPU 드라이버 확장 배포를 대상으로 합니다. 이러한 확장은 공격자가 GPU 카드의 모든 기능을 활용하고 크립토재킹을 수행하기 위해 악용하는 경우가 많습니다.

경고 표시 이름 (Alert Type)	Description	Severity	MITRE Tactic
가상 머신에서 GPU 확장의 의심스러운 설치(미리 보기) (VM_GPUDriverExtensionUnusualExecution)	구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 GPU 확장 설치가 탐지되었습니다. 공격자는 GPU 드라이버 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에 GPU 드라이버를 설치하고 크립토재킹을 수행할 수 있습니다.	Low	Impact

전체 경고 목록은 클라우드용 Microsoft Defender의 모든 보안 경고에 대한 참조 테이블을 참조하세요.

특정 취약성 결과를 사용하지 않도록 설정 지원

2023년 7월 9일

에이전트 없는 컨테이너 태세의 일부로 컨테이너 레지스트리 이미지 또는 실행 중인 이미지에 대한 취약성 결과를 사용하지 않도록 설정하기 위한 지원 릴리스입니다. 조직에서 컨테이너 레지스트리 이미지를 수정하는 대신 취약성 결과를 무시해야 하는 경우 이를 사용하지 않도록 설정할 수 있습니다(선택 사항). 사용하지 않도록 설정된 결과는 보안 점수에 영향을 주거나 원치 않는 노이즈를 생성하지 않습니다.

컨테이너 레지스트리 이미지에서 취약성 평가 결과를 사용하지 않도록 설정하는 방법을 알아보세요.

이제 데이터 인식 보안 태세가 일반 공급됨

2023년 7월 1일

이제 클라우드용 Microsoft Defender의 데이터 인식 보안 태세가 일반 공급됩니다. 이는 고객이 데이터 위험을 줄이고 데이터 위반에 대응하는 데 도움이 됩니다. 데이터 인식 보안 태세를 사용하여 다음을 수행할 수 있습니다.

Azure와 AWS에서 중요한 데이터 리소스를 자동으로 검색합니다.
데이터 민감도, 데이터 노출, 조직 전체의 데이터 흐름 방식을 평가합니다.
데이터 위반으로 이어질 수 있는 위험을 사전에 지속적으로 찾아냅니다.
중요한 데이터 리소스에 대한 지속적인 위협을 나타낼 수 있는 의심스러운 작업을 검색합니다.

자세한 내용은 클라우드용 Microsoft Defender의 데이터 인식 보안 태세를 참조하세요.

June 2023

6월 업데이트는 다음과 같습니다.

Date	Update
June 26	향상된 설정을 사용하여 간소화된 다중 클라우드 계정 온보딩
June 25	스토리지용 Defender에서 맬웨어 검색에 대한 프라이빗 엔드포인트 지원
June 15	규정 준수에서 NIST 800-53 표준에 대한 제어 업데이트가 이루어짐
June 11	이제 Azure Migrate 비즈니스 사례를 사용한 클라우드 마이그레이션 계획에 클라우드용 Defender가 포함됨
June 7	이제 SQL용 Defender의 취약성 평가를 위한 빠른 구성 일반 공급
June 6	기존 Azure DevOps 커넥터에 더 많은 범위 추가
June 4	Defender CSPM에서 컨테이너 기능에 대한 에이전트 기반 검색을 에이전트 없는 검색으로 대체

향상된 설정을 사용하여 간소화된 다중 클라우드 계정 온보딩

2023년 6월 26일

클라우드용 Defender는 고급 온보딩 기능에 대한 액세스를 제공하면서 AWS 및 GCP 환경을 온보딩할 수 있는 새로운 기능 외에도 새로운 간소화된 사용자 인터페이스 및 지침을 포함하도록 온보딩 환경을 개선했습니다.

자동화를 위해 Hashicorp Terraform을 채택한 조직의 경우 이제 클라우드용 Defender에는 AWS CloudFormation 또는 GCP Cloud Shell과 함께 Terraform을 배포 방법으로 사용할 수 있는 기능이 포함되어 있습니다. 이제 통합을 만들 때 필요한 역할 이름을 사용자 지정할 수 있습니다. 다음 중 하나를 선택할 수도 있습니다.

Default access - Allows Defender for Cloud to scan your resources and automatically include future capabilities.
최소 권한 액세스 - 선택한 계획에 필요한 현재 권한에 대해서만 클라우드용 Defender 액세스 권한을 부여합니다.

최소 권한을 선택하는 경우 커넥터 상태에 대한 모든 기능을 사용하는 데 필요한 새 역할 및 권한에 대해서만 알림을 받게 됩니다.

클라우드용 Defender를 사용하면 클라우드 공급업체의 네이티브 이름으로 클라우드 계정을 구분할 수 있습니다. AWS 계정 별칭 및 GCP 프로젝트 이름을 예로 들 수 있습니다.

스토리지용 Defender에서 맬웨어 검색에 대한 프라이빗 엔드포인트 지원

2023년 6월 25일

프라이빗 엔드포인트 지원은 이제 Defender for Storage에서 맬웨어 검사 공개 미리 보기의 일부로 사용할 수 있습니다. 이 기능을 사용하면 프라이빗 엔드포인트를 사용하는 스토리지 계정에서 맬웨어 검사를 사용할 수 있습니다. 다른 구성은 필요하지 않습니다.

Defender for Storage의 맬웨어 검색(미리 보기)은 Microsoft Defender 바이러스 백신 기능을 사용하여 업로드된 콘텐츠에 대한 전체 맬웨어 검사를 거의 실시간으로 수행하여 악의적인 콘텐츠로부터 스토리지 계정을 보호하는 데 도움이 됩니다. 신뢰할 수 없는 콘텐츠를 처리하기 위한 보안 및 규정 준수 요구 사항을 충족하도록 설계되었습니다. 유지 관리가 필요 없이 대규모로 간단한 설정을 허용하고 대규모 응답 자동화를 지원하는 에이전트 없는 SaaS 솔루션입니다.

프라이빗 엔드포인트는 Azure Storage 서비스에 대한 보안 연결을 제공하여 퍼블릭 인터넷 노출을 효과적으로 제거하며 보안 모범 사례로 간주됩니다.

맬웨어 검색이 이미 사용하도록 설정된 프라이빗 엔드포인트가 있는 스토리지 계정의 경우 맬웨어 검사를 사용하여 계획을 사용하지 않도록 설정하고 사용하도록 설정해야 합니다.

Learn more about using private endpoints in Defender for Storage and how to secure your storage services further.

미리 보기용으로 릴리스된 권장 사항: 컨테이너 이미지를 실행하면 취약성 결과가 해결되어야 합니다(Microsoft Defender 취약성 관리 제공).

2023년 6월 21일

Microsoft Defender 취약성 관리 제공하는 Defender CSPM의 새 컨테이너 권장 사항이 미리 보기용으로 릴리스되었습니다.

Recommendation	Description	Assessment Key
컨테이너 이미지를 실행하면 취약성 발견이 해결되어야 합니다(Microsoft Defender 취약성 관리 기반)(미리 보기)	컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 이 권장 사항은 현재 Kubernetes 클러스터에서 실행 중인 취약한 이미지에 대한 가시성을 제공합니다. 현재 실행 중인 컨테이너 이미지의 취약성을 수정하는 것은 보안 태세를 개선하고 컨테이너화된 워크로드에 대한 공격 표면을 크게 줄이는 데 중요합니다.	c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

이 새로운 권장 사항은 Defender CSPM에서만 Qualys에서 제공하는 동일한 이름의 현재 권장 사항을 대체합니다(평가 키 41503391-efa5-47ee-9282-4eff6131462c 대체).

규정 준수에서 NIST 800-53 표준에 대한 제어 업데이트가 이루어짐

2023년 6월 15일

NIST 800-53 표준(R4 및 R5 모두)은 최근 클라우드용 Microsoft Defender 규정 준수의 제어 변경 내용으로 업데이트되었습니다. The Microsoft-managed controls have been removed from the standard, and the information on the Microsoft responsibility implementation (as part of the cloud shared responsibility model) is now available only in the control details pane under Microsoft Actions.

이러한 컨트롤은 이전에 전달된 컨트롤로 계산되었으므로 2023년 4월부터 2023년 5월까지 NIST 표준의 준수 점수가 크게 하락할 수 있습니다.

규정 준수 컨트롤에 대한 자세한 내용은 자습서: 규정 준수 검사 - 클라우드용 Microsoft Defender를 참조하세요.

이제 Azure Migrate 비즈니스 사례를 사용한 클라우드 마이그레이션 계획에 클라우드용 Defender가 포함됨

2023년 6월 11일

이제 Azure Migrate 비즈니스 사례의 컨텍스트에서 클라우드용 Defender를 적용하여 잠재적 보안 비용을 절감할 수 있습니다.

이제 SQL용 Defender의 취약성 평가를 위한 빠른 구성 일반 공급

2023년 6월 7일

이제 SQL용 Defender의 취약성 평가를 위한 빠른 구성이 일반 공급됩니다. 빠른 구성은 원클릭 구성(또는 API 호출)을 사용하여 SQL 취약성 평가를 위한 간소화된 온보딩 환경을 제공합니다. 관리형 스토리지 계정에 대해 필요한 추가 설정이나 종속성은 없습니다.

Check out this blog to learn more about express configuration.

빠른 구성과 클래식 구성의 차이점을 알아볼 수 있습니다.

기존 Azure DevOps 커넥터에 더 많은 범위 추가

2023년 6월 6일

DevOps용 Defender는 ADO(Azure DevOps) 애플리케이션에 다음과 같은 추가 범위를 추가했습니다.

사전 보안 관리: vso.advsec_manage. ADO를 위한 GitHub Advanced Security을 사용하거나 사용하지 않도록 설정하고 관리하는 데 필요합니다.
Container Mapping: vso.extension_manage, vso.gallery_manager; Which is needed in order to allow you to share the decorator extension with the ADO organization.

ADO 리소스를 클라우드용 Microsoft Defender에 온보딩하려는 새로운 DevOps용 Defender 고객만 이 변경 내용의 영향을 받습니다.

이제 Azure Arc 없이 서버용 Defender에 직접 온보딩할 수 있습니다.

2023년 6월 5일

이전에는 Azure 이외의 서버를 서버용 Defender에 온보딩하려면 Azure Arc가 필요했습니다. 그러나 최신 릴리스에서는 엔드포인트용 Microsoft Defender 에이전트만 사용하여 온-프레미스 서버를 서버용 Defender에 온보딩할 수도 있습니다.

이 새로운 방법은 핵심 엔드포인트 보호에 중점을 둔 고객을 위한 온보딩 프로세스를 간소화하고 클라우드 및 비클라우드 자산 모두에 대한 서버용 Defender의 소비 기반 청구를 활용할 수 있도록 합니다. 이제 엔드포인트용 Defender를 통한 직접 온보딩 옵션을 사용할 수 있으며 온보딩된 컴퓨터에 대한 요금은 7월 1일부터 청구됩니다.

자세한 내용은 엔트포인트용 Defender를 사용하여 비 Azure 컴퓨터를 클라우드용 Microsoft Defender에 연결을 참조하세요.

Defender CSPM에서 컨테이너 기능에 대한 에이전트 기반 검색을 에이전트 없는 검색으로 대체

2023년 6월 4일

Defender CSPM에서 에이전트 없는 컨테이너 태세 기능을 사용할 수 있게 되면서 이제 에이전트 기반 검색 기능은 사용 중지되었습니다. If you currently use container capabilities within Defender CSPM, please make sure that the relevant extensions are enabled to continue receiving container-related value of the new agentless capabilities such as container-related attack paths, insights, and inventory. (확장 기능 사용 설정 효과를 확인하는 데 최대 24시간이 걸릴 수 있습니다.)

에이전트 없는 컨테이너 태세에 대해 자세히 알아보세요.

May 2023

5월 업데이트는 다음과 같습니다.

Key Vault용 Defender의 새 경고입니다.
AWS에서 암호화된 디스크의 에이전트 없는 검사를 지원합니다.
클라우드용 Defender JIT(Just-In-Time) 명명 규칙의 변경 내용입니다.
선택한 AWS 지역의 온보딩입니다.
ID 권장 사항을 변경합니다.
규정 준수 대시보드에서 레거시 표준 사용 중단
Azure DevOps 검사 결과를 포함하도록 두 개의 Defender for DevOps 권장 사항 업데이트
서버용 Defender 취약성 평가 솔루션에 대한 새로운 기본 설정입니다.
클라우드 보안 탐색기 쿼리 결과의 CSV 보고서를 다운로드하는 기능(미리 보기).
Microsoft Defender 취약성 관리 사용한 컨테이너 취약성 평가 릴리스입니다.
Qualys에서 제공하는 컨테이너 권장 사항의 이름 바꾸기
Defender for DevOps GitHub 애플리케이션에 대한 업데이트입니다.
이제 인프라를 코드로 잘못 구성한 Azure DevOps 리포지토리에서 Defender for DevOps 끌어오기 요청 주석으로 변경합니다.

Key Vault용 Defender의 새 경고

경고(경고 유형)	Description	MITRE tactics	Severity
의심스러운 IP(비 Microsoft 또는 외부)에서 키 자격 증명 모음에 대한 비정상적인 액세스 (KV_UnusualAccessSuspiciousIP)	사용자 또는 서비스 주체가 지난 24시간 동안 Microsoft가 아닌 IP에서 키 자격 증명 모음에 대한 비정상적인 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 활동일 수 있습니다. 이는 키 자격 증명 모음 및 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도가 있음을 나타낼 수 있습니다. 추가 조사를 권장합니다.	Credential Access	Medium

사용 가능한 모든 경고는 Azure Key Vault에 대한 경고를 참조하세요.

이제 에이전트 없는 검사가 AWS에서 암호화된 디스크 지원

이제 VM에 대한 에이전트 없는 검사는 CMK와 PMK를 모두 사용하여 AWS에서 암호화된 디스크가 있는 인스턴스 처리를 지원합니다.

이 확장된 지원은 실행 중인 워크로드에 영향을 주지 않고 클라우드 자산에 대한 적용 범위와 가시성을 높입니다. 암호화된 디스크에 대한 지원은 실행 중인 인스턴스에 미치는 영향이 없는 동일한 방법을 유지합니다.

AWS에서 에이전트 없는 검사를 사용하도록 설정하는 새로운 고객의 경우 암호화된 디스크 검사가 기본 제공되고 지원됩니다.
에이전트 없는 검사를 사용하도록 설정된 AWS 커넥터가 이미 있는 기존 고객의 경우 암호화된 디스크를 처리하는 데 필요한 새 권한을 업데이트하고 추가하려면 온보딩된 AWS 계정에 CloudFormation 스택을 다시 적용해야 합니다. 업데이트된 CloudFormation 템플릿에는 클라우드용 Defender가 암호화된 디스크를 처리할 수 있는 새로운 할당이 포함되어 있습니다.

AWS 인스턴스를 검사하는 데 사용되는 권한에 대해 자세히 알아볼 수 있습니다.

CloudFormation 스택을 다시 적용하려면 다음을 수행합니다.

클라우드용 Defender 환경 설정으로 이동하여 AWS 커넥터를 엽니다.
Navigate to the Configure Access tab.
CloudFormation 템플릿을 다운로드하려면 클릭을 선택합니다.
AWS 환경으로 이동하여 업데이트된 템플릿을 적용합니다.

Learn more about agentless scanning and enabling agentless scanning in AWS.

클라우드용 Defender의 수정된 JIT(Just-In-Time) 규칙 명명 규칙

클라우드용 Microsoft Defender 브랜드에 맞게 JIT(Just-In-Time) 규칙을 수정했습니다. Azure Firewall 및 NSG(네트워크 보안 그룹) 규칙에 대한 명명 규칙을 변경했습니다.

변경 내용은 다음과 같습니다.

Description	Old Name	New Name
NSG의 JIT 규칙 이름(허용 및 거부)(네트워크 보안 그룹)	SecurityCenter-JITRule	MicrosoftDefenderForCloud-JITRule
NSG의 JIT 규칙 설명	ASC JIT 네트워크 액세스 규칙	MDC JIT 네트워크 액세스 규칙
JIT 방화벽 규칙 컬렉션 이름	ASC-JIT	MDC-JIT
JIT 방화벽 규칙 이름	ASC-JIT	MDC-JIT

Just-In-Time 액세스를 사용하여 관리 포트를 보호하는 방법을 알아보세요.

선택한 AWS 지역 온보딩

이제 AWS CloudTrail 비용 및 규정 준수 요구 사항을 관리하는 데 도움이 되도록 클라우드 커넥터를 추가하거나 편집할 때 검색할 AWS 지역을 선택할 수 있습니다. 이제 AWS 계정을 클라우드용 Defender에 등록할 때 선택한 특정 AWS 지역 또는 사용 가능한 모든 지역(기본값)을 검사할 수 있습니다. 클라우드용 Microsoft Defender에 AWS 계정 연결에서 자세히 알아보세요.

ID 권장 사항에 대한 여러 변경 내용

다음 권장 사항은 이제 일반 공급(GA)으로 릴리스되었으며 현재 사용되지 않는 V1 권장 사항을 대체합니다.

ID 권장 사항 V2의 GA(일반 공급) 릴리스

ID 권장 사항의 V2 릴리스에는 다음과 같은 개선 사항이 도입되었습니다.

검사 범위가 구독뿐만 아니라 모든 Azure 리소스를 포함하도록 확장되었습니다. 이렇게 하면 보안 관리자가 계정당 역할 할당을 볼 수 있습니다.
이제 특정 계정은 평가에서 제외할 수 있습니다. 보안 관리자가 비상 또는 서비스 계정과 같은 계정을 제외할 수 있습니다.
검사 빈도가 24시간에서 12시간으로 증가하여 ID 권장 사항이 더욱 최신의 정확한 정보를 제공할 수 있게 되었습니다.

다음 보안 권장 사항은 GA에서 사용할 수 있으며 V1 권장 사항을 대체합니다.

Recommendation	Assessment Key
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함	6240402e-f77c-46fa-9060-a7ce53997754
Azure 리소스에 대한 쓰기 권한이 있는 계정은 MFA를 사용하도록 설정해야 함	c0cb17b2-0607-48a7-b0e0-903ed22de39b
Azure 리소스에 대한 읽기 권한이 있는 계정은 MFA를 사용하도록 설정해야 함	dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함	20606e75-05c4-48c0-9d97-add6daa2109a
Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함	0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함	fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함	050ac097-3dda-4d24-ab6d-82568e7a50cf
Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함	1ff0b4c9-ed56-4de6-be9c-d7ab39645926

ID 권장 사항 V1 사용 중단

이제 다음 보안 권장 사항은 더 이상 사용되지 않습니다.

Recommendation	Assessment Key
구독에 대한 소유자 권한이 있는 계정에서 MFA를 사용하도록 설정해야 합니다.	94290b00-4d0c-d7b4-7cea-064a9554e681
구독에 대한 쓰기 권한이 있는 계정에서 MFA를 사용하도록 설정해야 합니다.	57e98606-6b1e-6193-0e3d-fe621387c16b
구독에 대한 읽기 권한이 있는 계정에서 MFA를 사용하도록 설정해야 합니다.	151e82c5-5341-a74b-1eb0-bc38d2c84bb5
소유자 권한이 있는 외부 계정은 구독에서 제거해야 합니다.	c3b6ae71-f1f0-31b4-e6c1-d5951285d03d
쓰기 권한이 있는 외부 계정은 구독에서 제거해야 합니다.	04e7147b-0deb-9796-2e5c-0336343ceb3d
읽기 권한이 있는 외부 계정은 구독에서 제거해야 합니다.	a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b
소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다.	e52064aa-6853-e252-a11e-dffc675689c2
더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다.	00c6d40b-e990-6acf-d4f3-471e747a27c4

V2 권장 사항에 맞게 사용자 지정 스크립트, 워크플로, 거버넌스 규칙을 업데이트하는 것이 좋습니다.

규정 준수 대시보드의 레거시 표준 사용 중단

레거시 PCI DSS v3.2.1 및 레거시 SOC TSP는 클라우드용 Defender 규정 준수 대시보드에서 완전히 사용되지 않으며 SOC 2 유형 2 이니셔티브 및 PCI DSS v4 이니셔티브 기반 규정 준수 표준으로 대체되었습니다. We have fully deprecated support of PCI DSS standard/initiative in Microsoft Azure operated by 21Vianet.

규정 준수 대시보드에서 표준 집합을 사용자 지정하는 방법에 대해 알아보세요.

Defender for DevOps에는 Azure DevOps 검사 결과 포함

DevOps Code용 Defender와 IaC는 다음 두 가지 권장 사항에 대한 Azure DevOps 보안 결과를 포함하도록 클라우드용 Microsoft Defender의 권장 사항 범위를 확장했습니다.

Code repositories should have code scanning findings resolved
Code repositories should have infrastructure as code scanning findings resolved

이전에는 Azure DevOps 보안 검사에 대한 적용 범위에는 비밀 권장 사항만 포함되었습니다.

DevOps용 Defender에 대해 자세히 알아봅니다.

서버용 Defender 취약성 평가 솔루션에 대한 새로운 기본 설정

취약성 평가(VA) 솔루션은 사이버 공격과 데이터 위반으로부터 컴퓨터를 보호하는 데 필수적입니다.

이제 Microsoft Defender 취약성 관리 VA 솔루션을 선택하지 않은 서버용 Defender로 보호되는 모든 구독에 대한 기본 제공 솔루션으로 사용하도록 설정되었습니다.

구독에 해당 VM에서 VA 솔루션을 사용하도록 설정한 경우 변경되지 않으며 Microsoft Defender 취약성 관리 해당 구독의 나머지 VM에서 기본적으로 사용하도록 설정되지 않습니다. 구독의 나머지 VM에서 VA 솔루션을 사용하도록 설정할 수 있습니다.

에이전트 없는 검사를 통해 취약성을 찾고 소프트웨어 인벤토리를 수집하는 방법(미리 보기)을 알아보세요.

클라우드 보안 탐색기 쿼리 결과의 CSV 보고서 다운로드(미리 보기)

클라우드용 Defender에는 클라우드 보안 탐색기 쿼리 결과에 대한 CSV 보고서를 다운로드하는 기능이 추가되었습니다.

쿼리 검색을 실행한 후 클라우드용 Defender의 클라우드 보안 탐색기 페이지에서 CSV 보고서 다운로드(미리 보기) 단추를 선택할 수 있습니다.

클라우드 보안 탐색기로 쿼리 빌드 방법에 대해 알아보세요.

Microsoft Defender 취약성 관리 사용하여 컨테이너 취약성 평가 릴리스

Defender CSPM의 Microsoft Defender 취약성 관리 통해 구동되는 Azure 컨테이너 레지스트리의 Linux 이미지에 대한 취약성 평가 릴리스를 발표합니다. 이번 릴리스에는 이미지의 일일 검사가 포함됩니다. 보안 탐색기 및 공격 경로에서 사용되는 결과는 Qualys 스캐너 대신 Microsoft Defender 취약성 평가에 의존합니다.

기존 권장 사항은 새 권장 Container registry images should have vulnerability findings resolved 사항으로 대체됩니다.

Recommendation	Description	Assessment Key
컨테이너 레지스트리 이미지에서 발견된 취약성이 해결되어야 함(Microsoft Defender 취약성 관리에서 구동함)	컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 이 권장 사항은 현재 Kubernetes 클러스터에서 실행 중인 취약한 이미지에 대한 가시성을 제공합니다. 현재 실행 중인 컨테이너 이미지의 취약성을 수정하는 것은 보안 태세를 개선하고 컨테이너화된 워크로드에 대한 공격 표면을 크게 줄이는 데 중요합니다.	dbd0cb49-b563-45e7-9724-889e799fa648은 c0b7cfc6-3172-465a-b378-53c7ff2cc0d5로 대체됩니다.

Defender CSPM의 에이전트 없는 컨테이너 태세에 대해 자세히 알아봅니다.

Microsoft Defender 취약성 관리 대해 자세히 알아보세요.

Qualys에서 제공하는 컨테이너 권장 사항 이름 바꾸기

컨테이너용 Defender의 현재 컨테이너 권장 사항은 다음과 같이 이름이 변경됩니다.

Recommendation	Description	Assessment Key
컨테이너 레지스트리 이미지에는 취약성 발견이 해결되어야 합니다(Qualys에 의해 구동됨).	컨테이너 이미지 취약성 평가는 레지스트리를 검사하여 보안 취약성을 확인하고 이미지마다 발견한 정보를 공개합니다. 취약성을 해결하면 컨테이너의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다.	dbd0cb49-b563-45e7-9724-889e799fa648
컨테이너 이미지를 실행하면 취약성 결과가 해결되어야 함(Qualys 제공)	컨테이너 이미지 취약성 평가는 Kubernetes 클러스터에서 실행되는 컨테이너 이미지에 보안 취약성이 있는지 검사하고 각 이미지에 대한 자세한 결과를 노출합니다. 취약성을 해결하면 컨테이너의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다.	41503391-efa5-47ee-9282-4eff6131462c

DevOps용 Defender GitHub 애플리케이션 업데이트

DevOps용 Microsoft Defender는 클라우드용 Defender에 GitHub 환경을 등록한 DevOps 고객이 GitHub 조직에 배포된 애플리케이션의 일부로 권한을 제공하도록 요구하는 변경과 업데이트를 지속적으로 수행하고 있습니다. 이러한 권한은 DevOps용 Defender의 모든 보안 기능이 문제 없이 정상적으로 작동하도록 하는 데 필요합니다.

사용 가능한 모든 DevOps 기능에 계속 액세스할 수 있도록 최대한 빨리 권한을 업데이트하는 것이 좋습니다.

권한은 다음과 같은 두 가지 방법으로 부여할 수 있습니다.

In your organization, select GitHub Apps. Locate Your organization, and select Review request.
GitHub 지원으로부터 자동화된 메일을 받게 됩니다. 메일에서 이 변경 내용을 수락하거나 거부하려면 권한 요청을 검토를 선택합니다.

이러한 옵션 중 하나를 수행한 후에는 요청을 검토해야 하는 검토 화면으로 이동하게 됩니다. 새 권한 수락을 선택하여 요청을 승인합니다.

권한 업데이트에 도움이 필요한 경우 Azure 지원 요청을 만들 수 있습니다.

DevOps용 Defender에 대해 자세히 알아볼 수도 있습니다. 구독에 해당 VM에서 VA 솔루션을 사용하도록 설정한 경우 변경되지 않으며 Microsoft Defender 취약성 관리 해당 구독의 나머지 VM에서 기본적으로 사용하도록 설정되지 않습니다. 구독의 나머지 VM에서 VA 솔루션을 사용하도록 설정할 수 있습니다.

에이전트 없는 검사를 통해 취약성을 찾고 소프트웨어 인벤토리를 수집하는 방법(미리 보기)을 알아보세요.

이제 Azure DevOps 리포지토리의 DevOps 끌어오기 요청 주석에 대한 Defender에 코드 제공 인프라 구성 오류 포함

DevOps용 Defender는 Azure Resource Manager 및 Bicep 템플릿에서 탐지된 IaC(코드 제공 인프라) 구성 오류를 포함하도록 Azure DevOps의 PR(끌어오기 요청) 주석 적용 범위를 확장했습니다.

이제 개발자는 PR에서 직접 IaC 구성 오류에 대한 주석을 볼 수 있습니다. 또한 개발자는 인프라가 클라우드 워크로드에 프로비전되기 전에 중요한 보안 문제를 해결할 수 있습니다. 수정을 간소화하기 위해 개발자에게는 각 주석 내 심각도 수준, 잘못된 구성 설명, 수정 지침이 제공됩니다.

이전에는 Azure DevOps의 DevOps용 Defender PR 주석 적용 범위에는 비밀만 포함되었습니다.

DevOps용 Defender 및 끌어오기 요청 주석에 대해 자세히 알아보세요.

April 2023

4월의 업데이트는 다음과 같습니다.

Defender CSPM의 에이전트 없는 컨테이너 태세(미리 보기)
새 미리 보기 통합 디스크 암호화 권장 사항
컴퓨터를 안전하게 구성해야 함 권장 사항 변경 내용
App Service 언어 모니터링 정책 사용 중단
Resource Manager용 Defender의 새로운 경고
Resource Manager용 Defender 계획의 세 가지 경고는 더 이상 사용되지 않음
Log Analytics 작업 영역으로 경고 자동 내보내기가 더 이상 사용되지 않음
Windows 및 Linux 서버에 대해 선택한 경고의 사용 중단 및 개선
Azure Data Services에 대한 새 Azure Active Directory 인증 관련 권장 사항
누락된 OS(운영 체제) 업데이트와 관련된 두 가지 권장 사항이 GA로 릴리스됨
API용 Defender(미리 보기)

Defender CSPM의 에이전트 없는 컨테이너 태세(미리 보기)

새로운 에이전트 없는 컨테이너 태세(미리 보기) 기능은 Defender CSPM(클라우드 보안 태세 관리) 계획의 일부로 사용할 수 있습니다.

에이전트 없는 컨테이너 태세를 사용하면 보안 팀이 컨테이너 및 Kubernetes 영역에서 보안 위험을 식별할 수 있습니다. 에이전트 없는 접근 방식을 사용하면 보안 팀이 SDLC 및 런타임에서 Kubernetes 및 컨테이너 레지스트리에 대한 가시성을 확보하여 워크로드에서 마찰과 공간을 제거할 수 있습니다.

에이전트 없는 컨테이너 태세는 공격 경로 분석과 결합하여 보안 팀이 특정 컨테이너 취약성에 우선 순위를 지정하고 확대할 수 있도록 하는 컨테이너 취약성 평가를 제공합니다. 또한 클라우드 보안 탐색기를 사용하여 위험을 발견하고 취약한 이미지를 실행하거나 인터넷에 노출된 애플리케이션 검색과 같은 컨테이너 태세 인사이트를 찾을 수 있습니다.

에이전트 없는 컨테이너 태세(미리 보기)에 대해 자세히 알아보세요.

통합 디스크 암호화 권장 사항(미리 보기)

미리 보기에는 새로운 통합 디스크 암호화 권장 사항이 있습니다.

Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.

해당 권장 사항은 Azure Disk Encryption을 탐지한 Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources 및 EncryptionAtHost를 탐지한 정책 Virtual machines and virtual machine scale sets should have encryption at host enabled를 대체합니다. ADE와 EncryptionAtHost는 유사한 수준의 미사용 암호화 범위를 제공하며, 모든 가상 머신에서 이 중 하나를 사용하도록 설정하는 것이 좋습니다. 새로운 권장 사항은 ADE 또는 EncryptionAtHost의 사용 여부를 탐지하고 둘 중 하나가 사용되지 않는 경우에만 경고를 표시합니다. 또한 가상 머신의 모든 디스크가 아닌 일부 디스크에서 ADE를 사용하도록 설정한 경우에도 경고합니다(이 조건은 EncryptionAtHost에는 적용되지 않음).

새 권장 사항에는 Azure Automanage 컴퓨터 구성이 필요합니다.

해당 권장 사항은 다음 정책을 기반으로 합니다.

ADE 및 EncryptionAtHost와 둘 중 하나를 사용하도록 설정하는 방법에 대해 자세히 알아보세요.

컴퓨터를 안전하게 구성해야 함 권장 사항 변경 내용

권장 사항이 Machines should be configured securely 업데이트되었습니다. 이 업데이트는 권장 사항의 성능과 안정성을 향상시키고 클라우드용 Defender 권장 사항의 일반적인 동작에 맞게 환경을 조정합니다.

이 업데이트의 일부로 권장 사항의 ID가 .로 181ac480-f7c4-544b-9865-11b8ffe87f47c476dc48-8110-4139-91af-c8d940896b98변경되었습니다.

고객 측에서 작업이 필요하지 않으며 보안 점수에 대한 예상되는 효과가 없습니다.

App Service 언어 모니터링 정책 사용 중단

다음 앱 서비스 언어 모니터링 정책은 거짓 부정을 발생시킬 수 있고 더 나은 보안을 제공하지 못하므로 더 이상 사용되지 않습니다. 항상 알려진 취약성이 없는 언어 버전을 사용하고 있는지 확인해야 합니다.

Policy name	Policy ID
Java를 사용하는 App Service 앱은 최신 'Java 버전'을 사용해야 함	496223c3-ad65-4ecd-878a-bae78737e9ed
Python을 사용하는 App Service 앱은 최신 'Python 버전'을 사용해야 함	7008174a-fd10-4ef0-817e-fc820a951d73
Java를 사용하는 함수 앱은 최신 'Java 버전'을 사용해야 함	9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc
Python을 사용하는 함수 앱은 최신 'Python 버전'을 사용해야 함	7238174a-fd10-4ef0-817e-fc820a951d73
PHP를 사용하는 App Service 앱은 최신 'PHP 버전'을 사용해야 함	7261b898-8a84-4db8-9e04-18527132abb3

고객은 대체 기본 제공 정책을 사용하여 App Services에 대해 지정된 언어 버전을 모니터링할 수 있습니다.

이러한 정책은 더 이상 클라우드용 Defender의 기본 제공 권장 사항에서 사용할 수 없습니다. 클라우드용 Defender가 모니터링하도록 사용자 지정 권장 사항으로 추가할 수 있습니다.

Resource Manager용 Defender의 새로운 경고

Resource Manager용 Defender에서는 다음과 같은 새로운 경고가 제공됩니다.

경고(경고 유형)	Description	MITRE tactics	Severity
미리 보기 - 의심스러운 컴퓨팅 리소스 만들기가 탐지됨 (ARM_SuspiciousComputeCreation)	Resource Manager용 Microsoft Defender 구독에서 가상 머신/Azure 스케일링 집합을 사용하는 컴퓨팅 리소스의 의심스러운 만들기를 식별했습니다. 식별된 작업은 관리자가 필요할 때 새로운 리소스를 배포하여 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 암호화 마이닝을 수행할 수 있습니다. 이 작업은 컴퓨팅 리소스 규모가 이전에 구독에서 관찰된 것보다 높으므로 의심스러운 것으로 간주됩니다. 이는 보안 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.	Impact	Medium

Resource Manager에 사용할 수 있는 모든 경고 목록을 볼 수 있습니다.

Resource Manager용 Defender 계획의 세 가지 경고는 더 이상 사용되지 않음

Resource Manager용 Defender 계획의 다음 세 가지 경고는 더 이상 사용되지 않습니다.

Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

의심스러운 IP 주소의 작업이 검색된 시나리오에서는 Defender for Resource Manager 계획 경고 Azure Resource Manager operation from suspicious IP address 또는 Azure Resource Manager operation from suspicious proxy IP address 중 하나가 표시됩니다.

Log Analytics 작업 영역으로 경고 자동 내보내기가 더 이상 사용되지 않음

클라우드용 Defender 보안 경고는 리소스 수준에서 기본 Log Analytics 작업 영역으로 자동으로 내보내집니다. 이로 인해 불확정적인 동작이 발생하므로 이 기능은 더 이상 사용되지 않습니다.

Instead, you can export your security alerts to a dedicated Log Analytics workspace with Continuous Export.

경고의 연속 내보내기를 Log Analytics 작업 영역으로 이미 구성한 경우 추가 작업이 필요하지 않습니다.

Windows 및 Linux 서버에 대해 선택한 경고의 사용 중단 및 개선

서버용 Defender의 보안 경고 품질 향상 프로세스에는 Windows 및 Linux 서버 모두에 대한 일부 경고의 사용 중단이 포함됩니다. 이제 사용되지 않는 경고는 엔드포인트용 Defender 위협 경고에서 소싱되고 적용됩니다.

엔드포인트용 Defender 통합을 이미 사용하도록 설정한 경우 추가 작업이 필요하지 않습니다. 2023년 4월에 경고 볼륨이 감소할 수 있습니다.

서버용 Defender에서 엔드포인트용 Defender 통합을 사용하도록 설정하지 않은 경우 엔드포인트용 Defender 통합을 사용하도록 설정하여 경고 범위를 유지 관리하고 개선해야 합니다.

모든 Defender for Servers 고객은 Defender for Servers 계획의 일부로 엔드포인트용 Defender 통합에 대한 모든 권한을 가짐.

엔드포인트용 Microsoft Defender 온보딩 옵션에 대해 자세히 알아볼 수 있습니다.

더 이상 사용되지 않는 것으로 설정된 경고의 전체 목록을 볼 수도 있습니다.

클라우드용 Microsoft Defender 블로그를 읽어보세요.

Azure Data Services에 대한 4가지 새로운 Azure Active Directory 인증 권장 사항을 추가했습니다.

Recommendation Name	Recommendation Description	Policy
Azure SQL Managed Instance 인증 모드는 Azure Active Directory만이어야 합니다.	로컬 인증 방법을 사용하지 않도록 설정 및 Azure Active Directory 인증만 허용하면 Azure ACTIVE Directory ID에서 Azure SQL Managed Instances에 단독으로 액세스할 수 있도록 하여 보안이 향상됩니다.	Azure SQL Managed Instance는 Azure Active Directory 전용 인증을 사용하도록 설정해야 함
Azure Synapse 작업 영역 인증 모드는 Azure Active Directory 전용이어야 합니다.	Azure Active Directory 전용 인증 방법은 Synapse 작업 영역이 인증을 위해 Azure AD ID를 독점적으로 요구하도록 하여 보안을 향상시킵니다. Learn more.	Synapse 작업 영역은 인증을 위해 Azure Active Directory ID만 사용해야 함
Azure Database for MySQL에는 Azure Active Directory 관리자가 프로비전되어 있어야 합니다.	Azure AD 인증을 사용하도록 Azure Database for MySQL에 대한 Azure AD 관리자를 프로비전합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다.	MySQL 서버에 대해 Azure Active Directory 관리자를 프로비전해야 함
Azure Database for PostgreSQL에는 Azure Active Directory 관리자가 프로비전되어 있어야 합니다.	Azure AD 인증을 사용하도록 Azure Database for PostgreSQL에 대한 Azure AD 관리자를 프로비전합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다.	PostgreSQL 서버에 대해 Azure Active Directory 관리자를 프로비전해야 함

권장 사항 System updates should be installed on your machines (powered by Azure Update Manager) 및 Machines should be configured to periodically check for missing system updates는 일반 공급용으로 릴리스되었습니다.

새 권장 사항을 사용하려면 다음을 수행해야 합니다.

Azure가 아닌 컴퓨터를 Arc에 연결합니다.
주기적 평가 속성을 사용하도록 설정합니다. You can use the Fix button. 새 권장 사항 Machines should be configured to periodically check for missing system updates에서 권장 사항을 수정할 수 있습니다.

이러한 단계를 완료한 후 Azure 정책에서 클라우드용 Defender의 기본 제공 이니셔티브에서 사용하지 않도록 설정하여 이전 권장 사항 System updates should be installed on your machines를 제거할 수 있습니다.

권장 사항의 두 가지 버전은 다음과 같습니다.

둘 다 Log Analytics 에이전트가 2024년 8월 31일에 더 이상 사용되지 않을 때까지 사용할 수 있으며, 이 경우 권장 사항의 이전 버전(System updates should be installed on your machines)도 더 이상 사용되지 않습니다. 두 권장 사항 모두 동일한 결과를 반환하며 동일한 컨트롤 Apply system updates에서 사용할 수 있습니다.

새 권장 사항에 System updates should be installed on your machines (powered by Azure Update Manager) 는 업데이트 관리자(미리 보기)를 통해 결과를 수정하는 데 사용할 수 있는 수정 단추를 통해 사용할 수 있는 수정 흐름이 있습니다. 이 수정 프로세스는 아직 미리 보기로 제공됩니다.

새 권장 사항은 이전 권장 System updates should be installed on your machines (powered by Azure Update Manager)사항 System updates should be installed on your machines 과 동일한 결과를 하므로 보안 점수에 영향을 주지 않을 것으로 예상됩니다.

필수 구성 요소 권장 사항(주기적 평가 속성 사용 설정)은 보안 점수에 부정적인 영향을 줍니다. You can remediate the negative effect with the available Fix button.

API용 Defender(미리 보기)

Microsoft의 클라우드용 Defender는 새로운 API용 Defender를 미리 보기로 사용할 수 있다고 발표했습니다.

API용 Defender는 API에 대한 전체 수명 주기 보호, 검색, 응답 범위를 제공합니다.

API용 Defender를 사용하면 비즈니스에 중요한 API에 대한 가시성을 확보하는 데 도움이 됩니다. API 보안 태세를 조사 및 개선하고, 취약성 수정의 우선 순위를 지정하고, 활성 실시간 위협을 신속하게 탐지할 수 있습니다.

API용 Defender에 대해 자세히 알아보세요.

March 2023

3월 업데이트는 다음과 같습니다.

거의 실시간으로 맬웨어 검색 및 중요한 데이터 위협 탐지를 포함하여 새로운 스토리지용 Defender 계획을 사용할 수 있습니다.
데이터 인식 보안 상태(미리 보기)
기본 Azure 보안 정책을 관리하기 위한 향상된 환경
Defender CSPM(Cloud Security Posture Management)은 이제 GA(일반 공급)
클라우드용 Microsoft Defender 사용자 지정 권장 사항 및 보안 표준을 만드는 옵션
MCSB(Microsoft 클라우드 보안 벤치마크) 버전 1.0은 이제 GA(일반 공급)입니다.
이제 정부 클라우드에서 일부 규정 준수 표준을 사용할 수 있습니다.
Azure SQL Server에 대한 새 미리 보기 권장 사항
Key Vault용 Defender의 새 경고

거의 실시간으로 맬웨어 검색 및 중요한 데이터 위협 탐지를 포함하여 새로운 스토리지용 Defender 계획을 사용할 수 있습니다.

클라우드 스토리지는 조직에서 중요한 역할을 하며 많은 양의 중요하고 중요한 데이터를 저장합니다. 오늘 새로운 Defender for Storage 계획을 발표합니다. 이전 계획(이제 "스토리지용 Defender(클래식)"으로 이름이 바뀐)을 사용하는 경우 새 기능과 혜택을 사용하려면 새 계획으로 사전에 마이그레이션해야 합니다.

새 플랜에는 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상으로부터 보호하는 데 도움이 되는 고급 보안 기능이 포함되어 있습니다. 또한 적용 범위 및 비용을 보다 효율적으로 제어할 수 있도록 보다 예측 가능하고 유연한 가격 책정 구조를 제공합니다.

새 계획에는 이제 공개 미리 보기에 새로운 기능이 있습니다.

중요한 데이터 노출 및 반출 이벤트 검색
모든 파일 형식에서 거의 실시간 Blob 업로드 맬웨어 검색
SAS 토큰을 사용하여 ID가 없는 엔터티 검색

이러한 기능은 제어 및 데이터 평면 로그 분석 및 동작 모델링을 기반으로 기존 활동 모니터링 기능을 향상시켜 위반의 초기 징후를 식별합니다.

이러한 모든 기능은 구독 및 리소스 수준 모두에서 데이터 보호를 세부적으로 제어하는 새로운 예측 가능하고 유연한 가격 책정 계획에서 사용할 수 있습니다.

스토리지용 Microsoft Defender 개요에서 자세히 알아보세요.

데이터 인식 보안 상태(미리 보기)

클라우드용 Microsoft Defender 보안 팀이 위험을 줄이고 클라우드의 데이터 위반에 대응할 때 생산성을 높일 수 있도록 도와줍니다. 이를 통해 데이터 컨텍스트를 사용하여 노이즈를 줄이고 가장 중요한 보안 위험의 우선 순위를 지정하여 비용이 많이 드는 데이터 위반을 방지할 수 있습니다.

클라우드 자산에서 데이터 리소스를 자동으로 검색하고 접근성, 데이터 민감도 및 구성된 데이터 흐름을 평가합니다. -횡적 이동 기술을 사용하여 데이터 리소스로 이어질 수 있는 중요한 데이터 리소스, 노출 또는 공격 경로의 데이터 침해에 대한 위험을 지속적으로 파악합니다.
중요한 데이터 리소스에 대한 지속적인 위협을 나타낼 수 있는 의심스러운 활동을 검색합니다.

Learn more about data-aware security posture.

기본 Azure 보안 정책을 관리하기 위한 향상된 환경

고객이 보안 요구 사항을 미세 조정하는 방식을 간소화하는 기본 제공 권장 사항에 대한 향상된 Azure 보안 정책 관리 환경을 클라우드용 Defender 소개합니다. 새 환경에는 다음과 같은 새로운 기능이 포함됩니다.

간단한 인터페이스를 사용하면 클라우드용 Defender 내에서 기본 보안 정책을 관리할 때 성능과 환경이 향상됩니다.
Microsoft 클라우드 보안 벤치마크(이전의 Azure 보안 벤치마크)에서 제공하는 모든 기본 제공 보안 권장 사항의 단일 보기입니다. 권장 사항은 논리 그룹으로 구성되므로 다루는 리소스의 유형과 매개 변수와 권장 사항 간의 관계를 더 쉽게 이해할 수 있습니다.
필터 및 검색과 같은 새로운 기능이 추가되었습니다.

보안 정책을 관리하는 방법을 알아봅니다.

클라우드용 Microsoft Defender 블로그를 읽어보세요.

Defender CSPM(Cloud Security Posture Management)은 이제 GA(일반 공급)

이제 Defender CSPM을 GA(일반 공급)로 출시한다고 발표했습니다. Defender CSPM은 기본 CSPM 기능에서 사용할 수 있는 모든 서비스를 제공하고 다음과 같은 이점을 추가합니다.

공격 경로 분석 및 ARG API - 공격 경로 분석은 클라우드 보안 그래프를 검색하여 공격 경로를 노출하는 그래프 기반 알고리즘을 사용하며, 공격 경로를 중단하고 성공적인 위반을 방지하는 문제를 가장 잘 해결하는 방법에 대한 권장 사항을 제안합니다. ARG(Azure Resource Graph) API를 쿼리하여 프로그래밍 방식으로 공격 경로를 사용할 수도 있습니다. 공격 경로 분석을 사용하는 방법 알아보기
클라우드 보안 탐색기 - 클라우드 보안 탐색 기를 사용하여 클라우드 보안 그래프에서 그래프 기반 쿼리를 실행하여 다중 클라우드 환경에서 보안 위험을 사전에 식별합니다. 클라우드 보안 탐색기에 대해 자세히 알아봅니다.

Learn more about Defender CSPM.

클라우드용 Microsoft Defender 사용자 지정 권장 사항 및 보안 표준을 만드는 옵션

클라우드용 Microsoft Defender KQL 쿼리를 사용하여 AWS 및 GCP에 대한 사용자 지정 권장 사항 및 표준을 만드는 옵션을 제공합니다. 쿼리 편집기를 사용하여 데이터에 대한 쿼리를 빌드하고 테스트할 수 있습니다. 이 기능은 Defender CSPM(Cloud Security Posture Management) 계획의 일부입니다. 사용자 지정 권장 사항 및 표준을 만드는 방법을 알아봅니다.

MCSB(Microsoft 클라우드 보안 벤치마크) 버전 1.0은 이제 GA(일반 공급)입니다.

클라우드용 Microsoft Defender MCSB(Microsoft 클라우드 보안 벤치마크) 버전 1.0이 이제 GA(일반 공급)임을 발표합니다.

MCSB 버전 1.0은 ASB(Azure Security Benchmark) 버전 3을 클라우드용 Defender 기본 보안 정책으로 대체합니다. MCSB 버전 1.0은 규정 준수 대시보드에서 기본 준수 표준으로 표시되며 모든 클라우드용 Defender 고객에 대해 기본적으로 사용하도록 설정됩니다.

MCSB(Microsoft 클라우드 보안 벤치마크)가 클라우드 보안 경험에서 성공하는 데 어떻게 도움이 되는지 알아볼 수도 있습니다.

Learn more about MCSB.

이제 정부 클라우드에서 일부 규정 준수 표준을 사용할 수 있습니다.

21Vianet에서 운영하는 Azure Government 및 Microsoft Azure의 고객을 위해 이러한 표준을 업데이트하고 있습니다.

Azure Government:

21Vianet에서 운영하는 Microsoft Azure:

규정 준수 대시보드에서 표준 집합을 사용자 지정하는 방법을 알아봅니다.

Azure SQL Server에 대한 새 미리 보기 권장 사항

Azure SQL Server Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)에 대한 새 권장 사항을 추가했습니다.

권장 사항은 기존 정책을 기반으로 합니다. Azure SQL Database should have Azure Active Directory Only Authentication enabled

이 권장 사항은 로컬 인증 방법을 사용하지 않도록 설정하고 Azure Active Directory 인증만 허용하므로 Azure ACTIVE Directory ID에서 Azure SQL Database에 독점적으로 액세스할 수 있도록 하여 보안을 향상시킵니다.

Azure SQL에서 Azure AD 전용 인증을 사용하도록 설정된 서버를 만드는 방법을 알아봅니다.

Key Vault용 Defender의 새 경고

Key Vault용 Defender에는 다음과 같은 새로운 경고가 있습니다.

경고(경고 유형)	Description	MITRE tactics	Severity
의심스러운 IP에서 키 자격 증명 모음으로의 액세스 거부 (KV_SuspiciousIPAccessDenied)	Microsoft Threat Intelligence가 의심스러운 IP 주소로 식별한 IP에 의해 실패한 키 자격 증명 모음 액세스가 시도되었습니다. 이 시도는 실패했지만 인프라가 손상되었을 수 있음을 나타냅니다. 추가 조사를 권장합니다.	Credential Access	Low

Key Vault에 사용할 수 있는 모든 경고 목록을 볼 수 있습니다.

February 2023

2월 업데이트는 다음과 같습니다.

향상된 클라우드 보안 탐색기
이제 Linux 이미지를 실행하는 Defender for Containers의 취약성 검사 GA
AWS CIS 1.5.0 규정 준수 표준에 대한 지원 발표
이제 다른 지역에서 DevOps용 Microsoft Defender(미리 보기)를 사용할 수 있습니다.
기본 제공 정책 [미리 보기]: Key Vault에 대해 프라이빗 엔드포인트를 구성해야 함

향상된 클라우드 보안 탐색기

향상된 버전의 클라우드 보안 탐색기에는 쿼리 마찰을 크게 제거하고 다중 클라우드 및 다중 리소스 쿼리를 실행하는 기능 및 각 쿼리 옵션에 대한 포함된 설명서를 추가하는 새로 고친 사용자 환경이 포함되어 있습니다.

이제 클라우드 보안 탐색기를 사용하면 리소스 간에 클라우드 추상 쿼리를 실행할 수 있습니다. 미리 빌드된 쿼리 템플릿을 사용하거나 사용자 지정 검색을 사용하여 필터를 적용하여 쿼리를 빌드할 수 있습니다. Cloud Security Explorer를 관리하는 방법을 알아봅니 다.

이제 Linux 이미지를 실행하는 Defender for Containers의 취약성 검사 GA

Defender for Containers는 실행 중인 컨테이너에서 취약성을 검색합니다. Windows 및 Linux 컨테이너가 모두 지원됩니다.

이 기능은 2022년 8월에 Windows 및 Linux용 미리 보기로 릴리스되었습니다. 이제 Linux용 GA(일반 공급)를 위해 릴리스하고 있습니다.

취약성이 감지되면 클라우드용 Defender 검사 결과를 나열하는 다음 보안 권장 사항을 생성합니다. 컨테이너 이미지를 실행하면 취약성 발견이 해결되어야 합니다.

실행 중인 이미지의 취약성을 보는 방법에 대해 자세히 알아봅니다.

AWS CIS 1.5.0 규정 준수 표준에 대한 지원 발표

이제 클라우드용 Defender CIS Amazon Web Services Foundations v1.5.0 규정 준수 표준을 지원합니다. 표준은 규정 준수 대시보드에 추가될 수 있으며, 다중 클라우드 권장 사항 및 표준에 대한 MDC의 기존 제품을 기반으로 합니다.

이 새로운 표준에는 클라우드용 Defender 범위를 새 AWS 서비스 및 리소스로 확장하는 기존 권장 사항과 새 권장 사항이 모두 포함되어 있습니다.

AWS 평가 및 표준을 관리하는 방법을 알아봅니다.

이제 다른 지역에서 DevOps용 Microsoft Defender(미리 보기)를 사용할 수 있습니다.

DevOps용 Microsoft Defender는 미리 보기를 확장했으며 Azure DevOps 및 GitHub 리소스를 온보딩할 때 서유럽 및 동호주 지역에서 사용할 수 있습니다.

DevOps용 Microsoft Defender에 대해 자세히 알아보세요.

기본 제공 정책 [미리 보기]: Key Vault에 대해 프라이빗 엔드포인트를 구성해야 함

기본 제공 정책은 [Preview]: Private endpoint should be configured for Key Vault 더 이상 사용되지 않으며 정책으로 [Preview]: Azure Key Vaults should use private link 대체됩니다.

Azure Key Vault를 Azure Policy와 통합하는 방법에 대해 자세히 알아봅니다.

January 2023

1월의 업데이트는 다음과 같습니다.

이제 설정 및 모니터링 페이지에서 엔드포인트 보호(엔드포인트용 Microsoft Defender) 구성 요소에 액세스합니다.
누락된 시스템 업데이트를 찾기 위한 권장 사항의 새 버전(미리 보기)
연결된 AWS 및 GCP 계정에서 삭제된 Azure Arc 머신 정리
방화벽 뒤에서 Event Hubs로 연속 내보내기 허용
Azure 고급 네트워킹 솔루션으로 애플리케이션 보호 보안 점수 컨트롤의 이름이 변경되었습니다.
SQL Server에 대한 정책 취약성 평가 설정에는 더 이상 사용되지 않는 검사 보고서를 받기 위한 이메일 주소가 포함되어야 합니다.
Virtual Machine Scale Sets에 대한 진단 로그를 사용하도록 설정하는 권장 사항은 더 이상 사용되지 않습니다.

이제 설정 및 모니터링 페이지에서 엔드포인트 보호(엔드포인트용 Microsoft Defender) 구성 요소에 액세스합니다.

To access Endpoint protection, navigate to Environment settings>Defender plans>Settings and monitoring. From here you can set Endpoint protection to On. 관리되는 다른 구성 요소도 볼 수 있습니다.

서버용 Defender를 사용하여 서버에서 엔드포인트용 Microsoft Defender 사용하도록 설정하는 방법에 대해 자세히 알아봅니다.

누락된 시스템 업데이트를 찾기 위한 권장 사항의 새 버전(미리 보기)

컴퓨터에 최신 보안 또는 중요한 시스템 업데이트가 모두 있는지 확인하기 위해 Azure VM 및 Azure Arc 머신에 에이전트가 더 이상 필요하지 않습니다.

컨트롤의 System updates should be installed on your machines (powered by Azure Update Manager) 새 시스템 업데이트 권장 사항은 Apply system updates 업데이트 관리자(미리 보기)를 기반으로 합니다. 이 권장 사항은 설치된 에이전트 대신 모든 Azure VM 및 Azure Arc 머신에 포함된 네이티브 에이전트를 사용합니다. 새 권장 사항의 빠른 수정을 통해 업데이트 관리자 포털에서 누락된 업데이트를 일회성으로 설치할 수 있습니다.

새 권장 사항을 사용하려면 다음을 수행해야 합니다.

비 Azure 머신을 Arc에 연결
주기적 평가 속성을 켭니다. 새 권장 사항 Machines should be configured to periodically check for missing system updates의 빠른 수정을 사용하여 권장 사항을 수정할 수 있습니다.

Log Analytics 에이전트를 사용하는 기존 "시스템 업데이트를 컴퓨터에 설치해야 함" 권장 사항은 여전히 동일한 제어에서 사용할 수 있습니다.

연결된 AWS 및 GCP 계정에서 삭제된 Azure Arc 머신 정리

머신의 서버용 Defender 또는 DEFENDER for SQL에서 다루는 AWS 및 GCP 계정에 연결된 컴퓨터는 클라우드용 Defender Azure Arc 컴퓨터로 표시됩니다. 지금까지 해당 컴퓨터는 AWS 또는 GCP 계정에서 컴퓨터가 삭제되었을 때 인벤토리에서 삭제되지 않았습니다. 삭제된 컴퓨터를 나타내는 불필요한 Azure Arc 리소스가 클라우드용 Defender 남아 있습니다.

이제 클라우드용 Defender 연결된 AWS 또는 GCP 계정에서 해당 머신이 삭제될 때 Azure Arc 머신을 자동으로 삭제합니다.

방화벽 뒤에서 Event Hubs로 연속 내보내기 허용

이제 Azure 방화벽으로 보호되는 Event Hubs에 대한 신뢰할 수 있는 서비스로 경고 및 권장 사항을 지속적으로 내보낼 수 있습니다.

경고 또는 권장 사항이 생성되면 연속 내보내기를 사용하도록 설정할 수 있습니다. 모든 새 데이터의 정기적인 스냅샷을 보내는 일정을 정의할 수도 있습니다.

Azure 방화벽 뒤에 있는 Event Hubs로 연속 내보내기를 사용하도록 설정하는 방법을 알아봅니다.

Azure 고급 네트워킹 솔루션으로 애플리케이션 보호 보안 점수 컨트롤의 이름이 변경됨

보안 점수 컨트롤 Protect your applications with Azure advanced networking solutions 이 .로 변경되었습니다 Protect applications against DDoS attacks.

업데이트된 이름은 ARG(Azure Resource Graph), Secure Score Controls API 및 Download CSV report.에 반영됩니다.

SQL Server에 대한 정책 취약성 평가 설정에는 더 이상 사용되지 않는 검사 보고서를 받기 위한 이메일 주소가 포함되어야 합니다.

정책은 Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports 더 이상 사용되지 않습니다.

Defender for SQL 취약성 평가 전자 메일 보고서는 여전히 사용할 수 있으며 기존 전자 메일 구성은 변경되지 않았습니다.

Virtual Machine Scale Sets에 대한 진단 로그를 사용하도록 설정하는 권장 사항은 더 이상 사용되지 않습니다.

권장 사항 Diagnostic logs in Virtual Machine Scale Sets should be enabled는 더 이상 사용되지 않습니다.

The related policy definition has also been deprecated from any standards displayed in the regulatory compliance dashboard.

Recommendation	Description	Severity
Virtual Machine Scale Sets의 진단 로그를 사용하도록 설정해야 합니다.	로그를 사용하도록 설정하고 최대 1년 동안 보존하여 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다.	Low

December 2022

12월의 업데이트는 다음과 같습니다.

Defender for SQL의 취약성 평가에 대한 빠른 구성 발표

Defender for SQL의 취약성 평가에 대한 빠른 구성 발표

Microsoft Defender for SQL의 취약성 평가에 대한 빠른 구성은 Synapse 작업 영역 외부의 Azure SQL Database 및 전용 SQL 풀에서 간소화된 구성 환경을 보안 팀에 제공합니다.

취약성 평가에 대한 빠른 구성 환경을 통해 보안 팀은 다음을 수행할 수 있습니다.

고객 관리 스토리지 계정에 대한 다른 설정이나 종속성 없이 SQL 리소스의 보안 구성에서 취약성 평가 구성을 완료합니다.
Immediately add scan results to baselines so that the status of the finding changes from Unhealthy to Healthy without rescanning a database.
기준선에 여러 규칙을 한 번에 추가하고 최신 검사 결과를 사용합니다.
구독 수준에서 데이터베이스용 Microsoft Defender를 설정할 때 모든 Azure SQL Server에 대해 취약성 평가를 사용하도록 설정합니다.

DEFENDER for SQL 취약성 평가에 대해 자세히 알아봅니다.

November 2022

11월의 업데이트는 다음과 같습니다.

컨테이너용 Defender로 GCP 조직의 컨테이너 보호
샘플 경고를 사용하여 컨테이너용 Defender 보호의 유효성 검사
대규모 거버넌스 규칙(미리 보기)
AWS 및 GCP(미리 보기)에서 사용자 지정 평가를 만드는 기능은 더 이상 사용되지 않습니다.
람다 함수에 대한 배달 못 한 편지 큐를 구성하는 권장 사항은 더 이상 사용되지 않습니다.

컨테이너용 Defender로 GCP 조직의 컨테이너 보호

이제 GCP 환경에 컨테이너용 Defender를 사용하도록 설정하여 GCP 조직 전체의 표준 GKE 클러스터를 보호할 수 있습니다. 컨테이너용 Defender를 사용하도록 설정된 새 GCP 커넥터를 만들거나 기존의 조직 수준 GCP 커넥터에서 컨테이너용 Defender를 사용하도록 설정하기만 하면 됩니다.

클라우드용 Defender에 GCP 프로젝트 및 조직 연결에 대해 자세히 알아보세요.

샘플 경고를 사용하여 컨테이너용 Defender 보호의 유효성 검사

이제 컨테이너용 Defender 플랜에 대한 샘플 경고도 만들 수 있습니다. 새로운 샘플 경고는 다양한 심각도와 MITRE 전술을 제공하는 AKS, Arc 커넥티드 클러스터, EKS 및 GKE 리소스와 마찬가지 방식으로 제공됩니다. 샘플 경고를 사용하여 SIEM 통합, 워크플로 자동화 및 이메일 알림과 같은 보안 경고 구성의 유효성을 검사할 수 있습니다.

Learn more about alert validation.

대규모 거버넌스 규칙(미리 보기)

클라우드용 Defender에서 대규모 거버넌스 규칙(미리 보기)을 적용하는 새 기능이 출시되었습니다.

이 새로운 환경을 통해 보안 팀은 다양한 범위(구독 및 커넥터)의 거버넌스 규칙을 대량으로 정의할 수 있습니다. 보안 팀은 Azure 관리 그룹, AWS 최상위 계정 또는 GCP 조직과 같은 관리 범위를 사용하여 이 작업을 수행할 수 있습니다.

또한 거버넌스 규칙(미리 보기) 페이지에는 조직의 환경에서 효과적인 사용 가능한 모든 거버넌스 규칙이 표시됩니다.

새로운 대규모 거버넌스 규칙 환경에 대해 자세히 알아보세요.

Note

2023년 1월 1일부터 거버넌스에서 제공하는 기능을 경험하려면 구독 또는 커넥터에서 Defender CSPM 플랜을 사용하도록 설정해야 합니다.

AWS 및 GCP(미리 보기)에서 사용자 지정 평가를 만드는 기능은 더 이상 사용되지 않습니다.

The ability to create custom assessments for AWS accounts and GCP projects, which was a Preview feature, is deprecated.

람다 함수에 대한 배달 못 한 편지 큐를 구성하는 권장 사항은 더 이상 사용되지 않습니다.

권장 사항 Lambda functions should have a dead-letter queue configured는 더 이상 사용되지 않습니다.

Recommendation	Description	Severity
람다 함수에는 배달 못한 편지 큐가 구성되어 있어야 합니다.	이 컨트롤은 람다 함수가 배달 못 한 편지 큐로 구성되었는지 여부를 확인합니다. 람다 함수가 배달 못 한 편지 큐로 구성되지 않은 경우 컨트롤이 실패합니다. 장애 시 대상에 대한 대안으로 배달 못한 편지 큐로 함수를 구성하면 폐기된 이벤트를 절약하여 추가 처리에 사용할 수 있습니다. 배달 못한 편지 큐는 오류 발생 대상과 동일하게 작동합니다. 이벤트가 모든 처리 시도에 실패하거나 처리되지 않고 만료될 때 사용됩니다. 배달 못한 편지 큐를 사용하면 람다 함수에 대한 오류 또는 실패한 요청을 다시 확인하여 비정상적인 동작을 디버그하거나 식별할 수 있습니다. 보안 관점에서 함수가 실패한 이유를 이해하고 함수가 데이터를 삭제하거나 결과적으로 데이터 보안을 손상시키지 않도록 하는 것이 중요합니다. 예를 들어 함수가 네트워크의 다른 곳에서 DoS(서비스 거부) 공격의 증상이 될 수 있는 기본 리소스와 통신할 수 없는 경우입니다.	Medium

October 2022

10월의 업데이트는 다음과 같습니다.

Microsoft 클라우드 보안 벤치마크 발표
클라우드용 Defender의 공격 경로 분석 및 상황에 맞는 보안 기능(미리 보기)
Azure 및 AWS 머신용 에이전트 없는 검사(미리 보기)
DevOps용 Defender(미리 보기)
이제 규정 준수 대시보드는 Microsoft의 규정 준수 상태에 대한 수동 제어 관리 및 자세한 정보를 지원
자동 프로비전의 이름이 설정 및 모니터링으로 변경되고 업데이트된 환경이 있습니다.
Defender CSPM(클라우드 보안 태세 관리)(미리 보기)
이제 AWS 및 GCP 보안 권장 사항에 대해서도 MITRE ATT&CK 프레임워크 매핑을 사용할 수 있습니다.
이제 컨테이너용 Defender는 Elastic Container Registry(미리 보기)의 취약성 평가를 지원

Microsoft 클라우드 보안 벤치마크 발표

MCSB(Microsoft 클라우드 보안 벤치마크)는 일반적인 업계 표준 및 규정 준수 프레임워크를 기반으로 기본 클라우드 보안 원칙을 정의하는 새로운 프레임워크입니다. 클라우드 플랫폼에서 이러한 모범 사례를 구현하기 위한 자세한 기술 지침과 함께. MCSB는 Azure Security Benchmark를 대체하고 있습니다. MCSB는 처음에 Azure 및 AWS를 다루는 여러 클라우드 서비스 플랫폼에서 클라우드에 구애받지 않는 보안 권장 사항을 구현하는 방법에 대한 규범적인 세부 정보를 제공합니다.

이제 통합된 단일 대시보드에서 클라우드별로 클라우드 보안 준수 상태를 모니터링할 수 있습니다. 클라우드용 Defender의 규정 준수 대시보드로 이동하면 MCSB를 기본 규정 준수 표준으로 볼 수 있습니다.

Microsoft 클라우드 보안 벤치마크는 클라우드용 Defender를 온보딩할 때 Azure 구독 및 AWS 계정에 자동으로 할당됩니다.

Microsoft 클라우드 보안 벤치마크에 대해 자세히 알아보세요.

클라우드용 Defender의 공격 경로 분석 및 상황에 맞는 보안 기능(미리 보기)

이제 클라우드용 Defender에서 새로운 클라우드 보안 그래프, 공격 경로 분석 및 상황에 맞는 클라우드 보안 기능을 미리 보기로 사용할 수 있습니다.

오늘날 보안 팀이 직면한 가장 큰 과제 중 하나는 매일 직면하는 보안 문제의 수입니다. 해결해야 하는 수많은 보안 문제가 있으며 모든 문제를 해결하기 위한 충분한 리소스가 없습니다.

클라우드용 Defender 새로운 클라우드 보안 그래프 및 공격 경로 분석 기능을 통해 보안 팀은 각 보안 문제의 위험을 평가할 수 있습니다. 또한 보안 팀은 가장 빨리 해결해야 하는 최고 위험 문제를 식별할 수 있습니다. 클라우드용 Defender 보안 팀과 협력하여 가장 효과적인 방법으로 환경에 영향을 미치는 위반의 위험을 줄입니다.

새로운 클라우드 보안 그래프, 공격 경로 분석 및 클라우드 보안 탐색기에 대해 자세히 알아보세요.

Azure 및 AWS 머신용 에이전트 없는 검사(미리 보기)

지금까지 클라우드용 Defender는 에이전트 기반 솔루션에서 VM의 보안 태세를 평가했습니다. 고객이 적용 범위를 최대화하고 온보딩 및 관리 마찰을 줄일 수 있도록 VM을 미리 보기 위해 에이전트 없는 검사를 릴리스합니다.

VM에 대한 에이전트 없는 검사를 사용하면 설치된 소프트웨어 및 소프트웨어 CVE에 대한 광범위한 가시성을 얻을 수 있습니다. 에이전트 설치 및 유지 관리, 네트워크 연결 요구 사항 및 성능이 워크로드에 미치는 영향 없이 가시성을 얻을 수 있습니다. 분석은 Microsoft Defender 취약성 관리 의해 구동됩니다.

에이전트 없는 취약성 검사는 AWS 및 Azure VM에 기본적으로 지원되는 Defender CSPM(클라우드 보안 태세 관리) 및 서버용 Defender P2에서 사용할 수 있습니다.

Learn more about agentless scanning.
에이전트 없는 취약성 평가를 사용하는 방법을 알아보세요.

DevOps용 Defender(미리 보기)

클라우드용 Microsoft Defender는 Azure, AWS, Google 및 온-프레미스 리소스를 포함한 하이브리드 및 다중 클라우드 환경에서 포괄적인 표시 유형, 상태 관리 및 위협 방지를 지원합니다.

이제 새로운 DevOps용 Defender 플랜은 GitHub 및 Azure DevOps와 같은 소스 코드 관리 시스템을 클라우드용 Defender에 통합합니다. 이 새로운 통합을 통해 보안 팀은 코드에서 클라우드로 리소스를 보호할 수 있습니다.

DevOps용 Defender를 사용하면 연결된 개발자 환경 및 코드 리소스에 대한 가시성을 얻고 관리할 수 있습니다. Currently, you can connect Azure DevOps and GitHub systems to Defender for Cloud and onboard DevOps repositories to Inventory and the new DevOps Security page. 이렇게 하면 보안 팀은 시스템 내에서 발견된 보안 문제에 대한 개요를 통합 DevOps 보안 페이지에서 확인할 수 있습니다.

개발자가 끌어오기 요청에서 직접 Azure DevOps의 비밀 검색 결과를 처리할 수 있도록 끌어오기 요청에 주석을 구성할 수 있습니다.

다음 보안 검사를 사용하도록 Azure Pipelines 및 GitHub 워크플로에서 Microsoft Security DevOps 도구를 구성할 수 있습니다.

Name	Language	License
Bandit	Python	Apache 라이선스 2.0
BinSkim	이진 – Windows, ELF	MIT License
ESlint	JavaScript	MIT License
CredScan (Azure DevOps Only)	자격 증명 스캐너(CredScan이라고도 함)는 Microsoft에서 개발하고 유지 관리하는 도구이며 기본 암호, SQL 연결 문자열, 프라이빗 키가 있는 인증서와 같은 소스 코드 및 구성 파일 공통 형식의 자격 증명 유출을 식별합니다.	오픈 소스 아님
Template Analyze	ARM 템플릿, Bicep 파일	MIT License
Terrascan	Terraform(HCL2), Kubernetes(JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation	Apache 라이선스 2.0
Trivy	컨테이너 이미지, 파일 시스템, git 리포지토리	Apache 라이선스 2.0

이제 DevOps에 다음과 같은 새로운 권장 사항이 제공됩니다.

Recommendation	Description	Severity
(미리 보기) 코드 리포지토리에서 코드 검사 결과를 확인해야 함	DevOps용 Defender는 코드 리포지토리에서 취약성을 발견했습니다. 리포지토리의 보안 상태를 개선하려면 이러한 취약성을 수정하는 것이 좋습니다. (관련 정책 없음)	Medium
(미리 보기) 코드 리포지토리에서 비밀 검사 결과를 확인해야 함	DevOps용 Defender는 코드 리포지토리에서 비밀을 발견했습니다.  이는 보안 위반을 방지하기 위해 즉시 수정해야 합니다.  리포지토리에 있는 비밀은 악의적 사용자가 유출하거나 검색할 수 있습니다. 이로 인해 애플리케이션 또는 서비스가 손상될 수 있습니다. Azure DevOps의 경우 Microsoft Security DevOps CredScan 도구는 실행되도록 구성된 빌드만 검색합니다. 따라서 결과는 리포지토리에 있는 비밀의 전체 상태를 반영하지 않을 수 있습니다. (관련 정책 없음)	High
(미리 보기) 코드 리포지토리에서 Dependabot 검사 결과를 확인해야 함	DevOps용 Defender는 코드 리포지토리에서 취약성을 발견했습니다. 리포지토리의 보안 상태를 개선하려면 이러한 취약성을 수정하는 것이 좋습니다. (관련 정책 없음)	Medium
(미리 보기) 코드 리포지토리에서 IaC(Infrastructure as Code) 검사 결과를 확인해야 함	(미리 보기) 코드 리포지토리에서 IaC(Infrastructure as Code) 검사 결과를 확인해야 함	Medium
(미리 보기) GitHub 리포지토리에서 코드 검사를 사용하도록 설정해야 함	GitHub는 코드에서 보안 취약성과 오류를 찾기 위해 코드 검사를 사용하여 코드를 분석합니다. 코드 검사는 코드의 기존 문제에 대한 수정을 찾고 심사하고 우선 순위를 지정하는 데 사용할 수 있습니다. 또한 코드 검사는 개발자가 새로운 문제를 도입하지 않도록 방지할 수 있습니다. 검사를 특정 날짜 및 시간에 예약하거나 리포지토리에서 푸시와 같은 특정 이벤트가 발생하는 경우 검사를 트리거할 수 있습니다. 코드 검사에서 코드의 잠재적 취약성 또는 오류를 발견하면 GitHub에서 경고를 리포지토리에 표시합니다. 취약성은 프로젝트의 기밀성, 무결성 또는 가용성을 손상시키기 위해 악용될 수 있는 프로젝트 코드의 문제입니다. (관련 정책 없음)	Medium
(미리 보기) GitHub 리포지토리에서 비밀 검사를 사용하도록 설정해야 함	GitHub는 실수로 리포지토리에 커밋된 비밀이 사기에 사용되지 않도록 방지하기 위해 알려진 유형의 비밀에 대해 리포지토리를 검사합니다. 비밀 검사는 GitHub 리포지토리에 있는 모든 분기의 전체 Git 기록에서 비밀을 검사합니다. 비밀의 예로 서비스 공급자가 인증을 위해 발급할 수 있는 토큰과 프라이빗 키가 있습니다. 비밀이 리포지토리에 체크 인되면 리포지토리에 대한 읽기 액세스 권한이 있는 모든 사용자가 비밀을 사용하여 해당 권한으로 외부 서비스에 액세스할 수 있습니다. 비밀은 프로젝트 리포지토리 외부의 안전한 전용 위치에 저장해야 합니다. (관련 정책 없음)	High
(미리 보기) GitHub 리포지토리에서 Dependabot 검사를 사용하도록 설정해야 함	GitHub는 리포지토리에 영향을 주는 코드 종속성의 취약성을 검색하면 Dependabot 경고를 보냅니다. 취약성은 프로젝트 또는 해당 코드를 사용하는 기타 프로젝트의 기밀성, 무결성 또는 가용성을 손상시키기 위해 악용할 수 있는 프로젝트 코드의 문제입니다. 취약성은 공격 유형, 심각도 및 방법에 따라 다릅니다. 코드가 보안 취약성이 있는 패키지에 종속된 경우 이 취약한 종속성은 다양한 문제를 일으킬 수 있습니다. (관련 정책 없음)	Medium

Defender for DevOps 권장 사항은 Defender for Containers에 포함된 CI/CD 워크플로에 대해 사용되지 않는 취약성 스캐너를 대체했습니다.

DevOps용 Defender에 대해 자세히 알아보세요.

이제 규정 준수 대시보드는 Microsoft의 규정 준수 상태에 대한 수동 제어 관리 및 자세한 정보를 지원

클라우드용 Defender의 규정 준수 대시보드는 고객이 규정 준수 상태를 파악하고 추적할 수 있는 핵심 도구입니다. 고객은 다양한 표준 및 규정의 요구 사항에 따라 환경을 지속적으로 모니터링할 수 있습니다.

이제 운영 및 기타 컨트롤을 수동으로 인증하여 규정 준수 상태를 완전히 관리할 수 있습니다. 이제 자동화되지 않은 컨트롤의 규정 준수 증거를 제공할 수 있습니다. 자동화된 평가와 함께, 이제는 선택한 범위 내에서 규정 준수 전체 보고서를 생성하여 특정 표준에 대한 전체 컨트롤 세트를 처리할 수 있습니다.

또한 Microsoft의 규정 준수 상태에 대한 보다 풍부한 컨트롤 정보와 심층적인 세부 정보 및 증거를 제공하므로, 이제 감사에 필요한 모든 정보를 손쉽게 확인할 수 있습니다.

다음과 같은 이점이 있습니다.

수동 고객 작업은 자동화되지 않은 컨트롤의 규정 준수를 수동으로 증명하는 메커니즘을 제공합니다. 증거를 연결하는 기능을 포함하여 준수 날짜 및 만료 날짜를 설정합니다.
Richer control details for supported standards that showcase Microsoft actions and manual customer actions in addition to the already existing automated customer actions.
Microsoft 작업은 감사 평가 절차, 테스트 결과 및 편차에 대한 Microsoft 응답을 포함하는 Microsoft의 규정 준수 상태에 대한 투명성을 제공합니다.
Compliance offerings provide a central location to check Azure, Dynamics 365, and Power Platform products and their respective regulatory compliance certifications.

클라우드용 Defender를 사용하여 규정 준수를 개선하는 방법에 대해 자세히 알아보세요.

자동 프로비전의 이름이 설정 및 모니터링으로 변경되고 업데이트된 환경이 있습니다.

자동 프로비전 페이지의 이름을 설정 및 모니터링으로 변경했습니다.

자동 프로비전은 클라우드용 Defender 고급 기능 및 기능에 필요한 필수 구성 요소를 대규모로 사용하도록 허용하기 위한 것이었습니다. 확장된 기능을 더 잘 지원하기 위해 다음과 같은 변경 내용으로 새 환경을 시작합니다.

이제 클라우드용 Defender의 플랜 페이지에는 다음이 포함됩니다.

모니터링 구성 요소가 필요한 Defender 플랜을 사용하도록 설정하면 해당 구성 요소가 기본 설정으로 자동 프로비전에 사용됩니다. 이러한 설정은 원할 때 언제든지 편집할 수 있습니다.
Defender 플랜 페이지에서 각 Defender 플랜의 모니터링 구성 요소 설정에 액세스할 수 있습니다.
Defender 플랜 페이지는 각 Defender 플랜에 대한 모든 모니터링 구성 요소가 있는지 아니면 모니터링 범위가 불완전한지 명확하게 보여줍니다.

설정 및 모니터링 페이지:

각 모니터링 구성 요소는 관련된 Defender 플랜을 나타냅니다.

모니터링 설정 관리에 대해 자세히 알아보세요.

Defender CSPM(클라우드 보안 태세 관리)

클라우드용 Microsoft Defender의 클라우드 보안을 위한 주요 요소 중 하나는 CSPM(클라우드 보안 태세 관리)입니다. CSPM은 보안을 효율적이고 효과적으로 개선할 수 있는 강화 지침을 제공합니다. CSPM은 또한 현재 보안 상황에 대한 표시 유형을 제공합니다.

새로운 Defender 계획인 Defender CSPM을 발표합니다. 이 플랜은 클라우드용 Defender의 보안 기능을 향상하며 다음과 같은 새 기능과 확장된 기능을 제공합니다.

클라우드 리소스의 보안 구성에 대한 지속적인 평가
잘못된 구성 및 약점을 해결하기 위한 보안 권장 사항
Secure score
Governance
Regulatory compliance
클라우드 보안 그래프
공격 경로 분석
에이전트 없는 머신 검사

Defender CSPM 플랜에 대해 자세히 알아보세요.

이제 AWS 및 GCP 보안 권장 사항에 대해서도 MITRE ATT&CK 프레임워크 매핑을 사용할 수 있습니다.

보안 분석가의 경우 보안 권장 사항과 관련된 잠재적 위험을 식별하고 공격 벡터를 이해하여 작업의 우선 순위를 효율적으로 지정할 수 있도록 해야 합니다.

클라우드용 Defender MITRE ATT&CK 프레임워크에 대해 Azure, AWS 및 GCP 보안 권장 사항을 매핑하여 우선 순위를 더 쉽게 지정합니다. MITRE ATT&CK 프레임워크는 실제 관찰을 기반으로 하는 악의적인 전술 및 기술의 전 세계적으로 액세스할 수 있는 기술 자료 고객이 환경의 보안 구성을 강화할 수 있도록 합니다.

MITRE ATT&CK 프레임워크는 다음 세 가지 방법으로 통합됩니다.

권장 사항은 MITRE ATT&CK 전술 및 기술에 매핑됩니다.
Azure Resource Graph를 사용하여 권장 사항에 대한 MITRE ATT&CK 전술 및 기술을 쿼리합니다.

Azure Portal에서 MITRE 공격이 있는 위치를 보여 주는 스크린샷

이제 컨테이너용 Defender는 Elastic Container Registry(미리 보기)의 취약성 평가를 지원

컨테이너용 Microsoft Defender는 이제 Amazon AWS의 ECR(Elastic Container Registry)에 대한 에이전트 없는 취약성 평가 검사를 제공합니다. AWS 및 Google GCP에 대한 고급 위협 방지 및 Kubernetes 환경 강화의 올해 초 릴리스를 기반으로 하는 다중 클라우드 환경에 대한 적용 범위를 확장합니다. 에이전트 없는 모델은 AWS 계정에서 이미지를 추출하지 않고 워크로드에 흔적을 남겨 두지 않으면서 계정에 이미지 검사를 위한 AWS 리소스를 만듭니다.

ECR 리포지토리의 이미지에 대한 에이전트 없는 취약성 평가 검사는 컨테이너 취약성을 식별하고 관리하기 위해 이미지를 지속적으로 검사하여 컨테이너화된 자산의 공격 표면을 줄이는 데 도움이 됩니다. 이 새 릴리스에서는 클라우드용 Defender 컨테이너 이미지가 리포지토리로 푸시된 후 검사하고 레지스트리의 ECR 컨테이너 이미지를 지속적으로 재평가합니다. 결과는 클라우드용 Microsoft Defender의 권장 사항으로 제공되며, 클라우드용 Defender의 기본 제공 자동화 워크플로를 사용하여 이미지의 심각한 취약성을 수정하기 위한 티켓을 여는 등 결과에 대한 조치를 취할 수 있습니다.

Amazon ECR 이미지에 대한 취약성 평가에 대해 자세히 알아보세요.

September 2022

9월 업데이트는 다음과 같습니다.

컨테이너 및 Kubernetes 엔터티를 기반으로 경고 표시 안 함
Defender for Servers는 Azure Monitor 에이전트를 사용하여 파일 무결성 모니터링을 지원합니다.
레거시 평가 API 사용 중단
ID에 더 많은 권장 사항 추가
테넌트 간 Log Analytics 작업 영역에 보고하는 머신에 대한 보안 경고 제거

컨테이너 및 Kubernetes 엔터티를 기반으로 경고 표시 안 함

Kubernetes Namespace
Kubernetes Pod
Kubernetes Secret
Kubernetes ServiceAccount
Kubernetes ReplicaSet
Kubernetes StatefulSet
Kubernetes DaemonSet
Kubernetes Job
Kubernetes CronJob

경고 제거 규칙에 대해 자세히 알아보세요.

Defender for Servers는 Azure Monitor 에이전트를 사용하여 파일 무결성 모니터링을 지원합니다.

FIM(파일 무결성 모니터링)은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일 및 레지스트리를 검사합니다.

FIM은 이제 클라우드용 Defender를 통해 배포할 수 있는 AMA(Azure Monitor 에이전트)를 기반으로 하는 새 버전에서 사용할 수 있습니다.

레거시 평가 API 사용 중단

다음 API는 더 이상 사용되지 않습니다.

Security Tasks
Security Statuses
Security Summaries

These three APIs exposed old formats of assessments and are replaced by the Assessments APIs and SubAssessments APIs. 이러한 레거시 API에서 노출되는 모든 데이터는 새 API에서도 사용할 수 있습니다.

ID에 더 많은 권장 사항 추가

클라우드용 Defender는 사용자 및 계정 관리를 개선할 수 있도록 권장 사항을 제공합니다.

New recommendations

새 릴리스에는 다음과 같은 기능이 포함되어 있습니다.

확장된 평가 범위 – 보안 관리자가 계정당 역할 할당을 볼 수 있도록 MFA가 없는 ID 계정 및 Azure 리소스의 외부 계정(구독만 해당)에 대한 적용 범위가 향상되었습니다.
향상된 새로 고침 간격 - 이제 ID 권장 사항의 새로 고침 간격은 12시간입니다.

계정 예외 기능 - 클라우드용 Defender에는 환경을 사용자 지정하고 보안 점수가 조직의 보안 우선 순위를 반영하는지 확인하는 데 사용할 수 있는 많은 기능이 있습니다. 예를 들어 보안 점수에서 리소스 및 권장 사항을 제외할 수 있습니다.

이 업데이트를 통해 다음 표에 나열된 6가지 권장 사항에 따라 특정 계정을 평가에서 제외할 수 있습니다.

일반적으로 이러한 계정은 종종 조직의 MFA 요구 사항에서 의도적으로 제외되기 때문에 MFA 권장 사항에서 비상 "중단" 계정을 제외합니다. 또는 액세스를 허용하고 싶지만 MFA를 사용하도록 설정되지 않은 외부 계정이 있는 경우도 있습니다.

Tip

계정을 제외하면 비정상으로 표시되지 않으며 구독이 비정상으로 표시되지도 않습니다.

Recommendation	Assessment key
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함	6240402e-f77c-46fa-9060-a7ce53997754
Azure 리소스에 대한 쓰기 권한이 있는 계정은 MFA를 사용하도록 설정해야 함	c0cb17b2-0607-48a7-b0e0-903ed22de39b
Azure 리소스에 대한 읽기 권한이 있는 계정은 MFA를 사용하도록 설정해야 함	dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함	20606e75-05c4-48c0-9d97-add6daa2109a
Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함	0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함	fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함	050ac097-3dda-4d24-ab6d-82568e7a50cf
Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함	1ff0b4c9-ed56-4de6-be9c-d7ab39645926

미리 보기 상태의 권장 사항이 현재 일반 공급되는 권장 사항 옆에 표시될 것입니다.

테넌트 간 Log Analytics 작업 영역에 보고하는 머신에 대한 보안 경고 제거

과거에는 클라우드용 Defender를 사용하면 Log Analytics 에이전트가 보고하는 작업 영역을 선택할 수 있었습니다. 컴퓨터가 하나의 테넌트(테넌트 A)에 속하지만 Log Analytics 에이전트가 다른 테넌트("테넌트 B")의 작업 영역에 보고한 경우 머신에 대한 보안 경고가 첫 번째 테넌트(테넌트 A)에 보고되었습니다.

이번 변화로 인해, 다른 테넌트에서 Log Analytics 작업 영역에 연결된 컴퓨터에 대한 경고가 더 이상 클라우드용 Defender에 표시되지 않습니다.

클라우드용 Defender에서 경고를 계속 받으려면 관련 컴퓨터의 Log Analytics 에이전트를 컴퓨터와 동일한 테넌트에 있는 작업 영역에 연결합니다.

Learn more about security alerts.

August 2022

8월의 업데이트는 다음과 같습니다.

이제 Windows 컨테이너에서 컨테이너용 Defender를 사용하여 이미지 실행에 대한 취약성이 표시됩니다.
Azure Monitor 에이전트 통합이 미리 보기로 제공됩니다.
Kubernetes 클러스터와 관련된 의심스러운 활동과 관련하여 사용되지 않는 VM 경고

이제 Windows 컨테이너에서 컨테이너용 Defender를 사용하여 이미지 실행에 대한 취약성이 표시됩니다.

이제 컨테이너용 Defender는 Windows 컨테이너 실행에 대한 취약성을 표시합니다.

취약성이 감지되면 클라우드용 Defender는 검색된 문제를 나열하는 컨테이너 이미지를 실행하면 취약성 발견이 해결되어야 함 보안 권장 사항을 생성합니다.

실행 중인 이미지의 취약성을 보는 방법에 대해 자세히 알아봅니다.

Azure Monitor 에이전트 통합이 미리 보기로 제공됩니다.

이제 클라우드용 Defender에는 AMA(Azure Monitor Agent)에 대한 미리 보기 지원이 포함되어 있습니다. AMA는 사용 중단 경로에 있는 레거시 Log Analytics 에이전트(MMA(Microsoft Monitoring Agent)라고도 함)를 대체하기 위한 것입니다. AMA는 레거시 에이전트보다 많은 이점을 제공합니다.

클라우드용 Defender AMA에 대해 자동 프로비전을 사용하도록 설정하면 에이전트가 기존 VM 및 새 VM 및 구독에서 검색된 Azure Arc 지원 컴퓨터에 배포됩니다. 클라우드용 Defender 플랜을 사용하도록 설정하면 AMA는 Azure VM 및 Azure Arc 머신에서 구성 정보 및 이벤트 로그를 수집합니다. AMA 통합은 미리 보기 상태이므로 프로덕션 환경이 아닌 테스트 환경에서 사용하는 것이 좋습니다.

다음 표에는 사용되지 않는 경고가 나와 있습니다.

Alert name	Description	Tactics	Severity
Kubernetes 노드에서 검색된 Docker 빌드 작업 (VM_ImageBuildOnNode)	컴퓨터 로그는 Kubernetes 노드에서 컨테이너 이미지의 빌드 작업을 나타냅니다. 이 동작은 합법적일 수 있지만, 공격자가 악의적인 이미지를 로컬로 빌드하여 감지를 피할 수 있습니다.	Defense Evasion	Low
Kubernetes API에 대한 의심스러운 요청 (VM_KubernetesAPI)	컴퓨터 로그는 Kubernetes API에 대한 의심스러운 요청이 이루어졌다는 것을 나타냅니다. 요청은 노드에서 실행되는 컨테이너 중 하나에서 Kubernetes 노드에서 전송되었을 수 있습니다. 이 동작은 의도적일 수 있지만 노드가 손상된 컨테이너를 실행하고 있음을 나타낼 수도 있습니다.	LateralMovement	Medium
SSH 서버가 컨테이너 내에서 실행되고 있습니다. (VM_ContainerSSH)	컴퓨터 로그에 SSH 서버가 Docker 컨테이너 내에서 실행되는 것으로 나타납니다. 이 동작은 의도적일 수 있지만 컨테이너가 잘못 구성되었거나 위반되었음을 나타내는 경우가 많습니다.	Execution	Medium

이러한 경고는 Kubernetes 클러스터에 연결된 의심스러운 활동을 사용자에게 알리는 데 사용됩니다. 경고는 클라우드 컨테이너용 Microsoft Defender 경고의 일부인 일치하는 경고(K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI 및 K8S.NODE_ ContainerSSH)로 대체되어 경고를 조사하고 조치를 수행하기 위한 향상된 충실도 및 포괄적인 컨텍스트를 제공합니다. Learn more about alerts for Kubernetes Clusters.

이제 컨테이너 취약점에 자세한 패키지 정보가 포함됩니다.

이제 컨테이너용 Defender의 VA(취약성 평가)에는 패키지 이름, 패키지 유형, 경로, 설치된 버전 및 고정 버전을 포함하여 각 검색에 대한 자세한 패키지 정보가 포함됩니다. 패키지 정보를 사용하면 취약성을 수정하거나 패키지를 제거할 수 있도록 취약한 패키지를 찾을 수 있습니다.

이 자세한 패키지 정보는 이미지의 새 검사에 사용할 수 있습니다.

July 2022

7월 업데이트는 다음과 같습니다.

Kubernetes 런타임 보호를 위한 클라우드 네이티브 보안 에이전트의 GA(일반 공급)
컨테이너용 Defender의 VA에 언어별 패키지 검색 지원 추가(미리 보기)
Operations Management Infrastructure 취약성 CVE-2022-29149로부터 보호
Entra Permissions Management와 통합
Key Vault 권장 사항이 "감사"로 변경됨
App Service에 대한 API 앱 정책 사용 중단

Kubernetes 런타임 보호를 위한 클라우드 네이티브 보안 에이전트의 GA(일반 공급)

Kubernetes 런타임 보호를 위한 클라우드 네이티브 보안 에이전트가 이제 GA(일반 공급)되었음을 알려드리게 되어 기쁩니다!

고객이 애플리케이션을 계속 컨테이너화함에 따라 Kubernetes 클러스터의 프로덕션 배포는 계속해서 증가하고 있습니다. 이러한 성장을 지원하기 위해 컨테이너용 Defender 팀은 클라우드 네이티브 Kubernetes 지향 보안 에이전트를 개발했습니다.

새로운 보안 에이전트는 eBPF 기술을 기반으로 하는 Kubernetes DaemonSet이며 AKS 보안 프로필의 일부로 AKS 클러스터에 완전히 통합됩니다.

보안 에이전트 사용은 자동 프로비전, 권장 사항 흐름, AKS RP 또는 Azure Policy를 사용하여 대규모로 사용할 수 있습니다.

현재 AKS 클러스터에 Defender 에이전트를 배포할 수 있습니다.

이번 발표로 런타임 보호 - 위협 감지(워크로드)도 이제 일반 공급됩니다.

Learn more about the Defender for Container's feature availability.

사용 가능한 모든 경고을 검토할 수도 있습니다.

미리 보기 버전을 사용하는 경우 AKS-AzureDefender 기능 플래그가 더 이상 필요하지 않습니다.

컨테이너용 Defender의 VA에 언어별 패키지 검색에 대한 지원 추가(미리 보기)

컨테이너용 Defender의 VA(취약성 평가)는 OS 패키지 관리자를 통해 배포된 OS 패키지의 취약성을 검색할 수 있습니다. 이제 언어별 패키지에 포함된 VA의 취약성 검색 기능이 확장되었습니다.

이 기능은 미리 보기로 제공되며 Linux 이미지에만 사용할 수 있습니다.

추가로 포함된 언어별 패키지를 모두 보려면 컨테이너용 Defender의 전체 기능 및 가용성 목록을 체크 아웃하세요.

Operations Management Infrastructure 취약성 CVE-2022-29149로부터 보호

OMI(Operations Management Infrastructure)는 온-프레미스 및 클라우드 환경을 한 곳에서 관리하기 위한 클라우드 기반 서비스의 모음입니다. OMI 구성 요소는 온-프레미스 리소스를 배포하고 관리하는 대신 Azure에서 전적으로 호스트됩니다.

Log Analytics integrated with Azure HDInsight running OMI version 13 requires a patch to remediate CVE-2022-29149. 이 취약성 및 수정 단계의 영향을 받는 리소스를 식별하는 방법에 대한 정보는 Microsoft 보안 업데이트 지침에서 이 취약성에 대한 보고서를 참조하세요.

If you have Defender for Servers enabled with Vulnerability Assessment, you can use this workbook to identify affected resources.

Entra Permissions Management와 통합

클라우드용 Defender는 Azure, AWS 및 GCP의 모든 ID 및 리소스에 대한 권한을 포괄적으로 표시하고 제어하는 CIEM(클라우드 인프라 권한 관리) 솔루션인 Microsoft Entra Permissions Management와 통합되었습니다.

이제 온보딩하는 각 Azure 구독, AWS 계정 및 GCP 프로젝트에 PCI(권한 상승 인덱스) 보기가 표시됩니다.

Entra Permission Management(이전의 Cloudknox)에 대해 자세히 알아보세요.

Key Vault 권장 사항이 "감사"로 변경됨

여기에 나열된 Key Vault 권장 사항에 대한 효과가 "감사"로 변경되었습니다.

Recommendation name	Recommendation ID
Azure Key Vault에 저장된 인증서의 유효 기간이 12개월을 넘어서는 안 됩니다.	fc84abc0-eee6-4758-8372-a7681965ca44
Key Vault 비밀에는 만료 날짜가 있어야 함	14257785-9437-97fa-11ae-898cfb24302b
Key Vault 키에는 만료 날짜가 있어야 함	1aabfa0d-7585-f9f5-1d92-ecb40291d9f2

App Service에 대한 API 앱 정책 사용 중단

API 앱을 포함하기 위해 이미 존재하는 해당 정책에 대한 다음 정책은 사용되지 않습니다.

지원 중단 예정	Changing to
`Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On'`	`App Service apps should have 'Client Certificates (Incoming client certificates)' enabled`
`Ensure that 'Python version' is the latest, if used as a part of the API app`	`App Service apps that use Python should use the latest Python version'`
`CORS should not allow every resource to access your API App`	`App Service apps should not have CORS configured to allow every resource to access your apps`
`Managed identity should be used in your API App`	`App Service apps should use managed identity`
`Remote debugging should be turned off for API Apps`	`App Service apps should have remote debugging turned off`
`Ensure that 'PHP version' is the latest, if used as a part of the API app`	`App Service apps that use PHP should use the latest 'PHP version'`
`FTPS only should be required in your API App`	`App Service apps should require FTPS only`
`Ensure that 'Java version' is the latest, if used as a part of the API app`	`App Service apps that use Java should use the latest 'Java version'`
`Latest TLS version should be used in your API App`	`App Service apps should use the latest TLS version`

June 2022

6월 업데이트는 다음과 같습니다.

Azure Cosmos DB용 Microsoft Defender의 GA(일반 공급)
AWS 및 GCP 환경용 컴퓨터의 SQL용 Defender의 GA(일반 공급)
보안 태세 향상을 위한 보안 권장 사항 구현 추진
IP 주소별로 보안 경고 필터링
리소스 그룹별 경고
엔드포인트용 Microsoft Defender 통합 솔루션 자동 프로비전
“API 앱은 HTTPS를 통해서만 액세스할 수 있어야 함” 정책의 사용 중단
새로운 Key Vault 경고

Azure Cosmos DB용 Microsoft Defender의 GA(일반 공급)

Azure Cosmos DB용 Microsoft Defender는 이제 GA(일반 공급)되며 SQL(핵심) API 계정 유형을 지원합니다.

GA에 대한 이 새로운 릴리스는 다양한 유형의 SQL 데이터베이스 및 MariaDB를 포함하는 클라우드용 Microsoft Defender 데이터베이스 보호 제품군의 일부입니다. Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정의 데이터베이스를 악용하려는 모든 시도를 검색하는 Azure 네이티브 보안 계층입니다.

이 계획을 사용하도록 설정하면 잠재적인 SQL 삽입, 알려진 악의적인 행위자, 의심스러운 액세스 패턴 및 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스의 잠재적 탐색에 대한 경고가 표시됩니다.

잠재적으로 악의적인 활동이 감지되면 보안 경고가 생성됩니다. 이러한 경고는 관련 조사 단계, 수정 작업, 보안 권장 사항과 더불어 의심스러운 활동의 세부 정보를 제공합니다.

Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 서비스에서 생성한 원격 분석 스트림을 지속적으로 분석하고 Microsoft Threat Intelligence 및 동작 모델과 교차하여 의심스러운 활동을 검색합니다. Azure Cosmos DB용 Defender는 Azure Cosmos DB 계정 데이터에 액세스하지 않으며 데이터베이스의 성능에 영향을 주지 않습니다.

Azure Cosmos DB용 Microsoft Defender에 대해 자세히 알아보세요.

Azure Cosmos DB에 대한 지원이 추가됨에 따라 클라우드용 Defender는 이제 클라우드 기반 데이터베이스에 대한 가장 포괄적인 워크로드 보호 제품 중 하나를 제공합니다. 보안 팀 및 데이터베이스 소유자는 이제 중앙 집중식 환경에서 해당 환경의 데이터베이스 보안을 관리할 수 있습니다.

Learn how to enable protections for your databases.

AWS 및 GCP 환경용 컴퓨터의 SQL용 Defender의 GA(일반 공급)

클라우드용 Microsoft Defender에서 제공하는 데이터베이스 보호 기능에 AWS 또는 GCP 환경에서 호스트되는 SQL 데이터베이스에 대한 지원이 추가되었습니다.

이제 엔터프라이즈는 SQL용 Defender를 사용하여 Azure, AWS, GCP 및 온-프레미스 컴퓨터에서 호스트되는 전체 데이터 자산을 보호할 수 있습니다.

SQL용 Microsoft Defender는 SQL 서버 및 기본 Windows OS 모두에 대한 보안 권장 사항, 보안 경고, 취약성 평가 결과를 볼 수 있는 통합 다중 클라우드 환경을 제공합니다.

다중 클라우드 온보딩 환경을 사용하여 AWS EC2, RDS Custom for SQL Server 및 GCP 컴퓨팅 엔진에서 실행되는 SQL 서버에 대해 데이터베이스 보호를 사용하도록 설정하고 적용할 수 있습니다. 이러한 플랜 중 하나를 사용하도록 설정하면 구독 내에 존재하는 지원되는 모든 리소스가 보호됩니다. 동일한 구독에서 만들어진 향후 리소스도 보호됩니다.

Learn how to protect and connect your AWS environment and your GCP organization with Microsoft Defender for Cloud.

보안 태세 향상을 위한 보안 권장 사항 구현 추진

오늘날 조직에 대한 위협이 증가함에 따라 확장 중인 워크로드를 보호하기 위해 보안 담당자의 제한이 늘어나고 있습니다. 보안 팀은 보안 정책에 정의된 보호를 구현해야 합니다.

이제 거버넌스 환경이 미리 보기로 제공되므로, 보안 팀은 리소스 소유자에게 보안 수정 권장 사항을 할당하고 수정 일정을 요구할 수 있습니다. 수정 진행 상황에 대한 완전한 투명성을 확보하고 작업이 지연되면 알림을 받을 수 있습니다.

조직이 권장 사항 거버넌스를 사용하여 보안 문제를 해결하도록 추진에서 거버넌스 환경에 대해 자세히 알아보세요.

IP 주소별로 보안 경고 필터링

대부분 공격의 경우 사용자는 공격과 관련된 엔터티의 IP 주소를 기반으로 경고를 추적하려고 합니다. 지금까지 IP는 단일 경고 창의 "관련 엔터티" 섹션에만 표시되었습니다. 이제 보안 경고 창에서 경고를 필터링하여 IP 주소와 관련된 경고를 확인하고 특정 IP 주소를 검색할 수 있습니다.

리소스 그룹별 경고

리소스 그룹별로 필터링, 정렬 및 그룹화할 수 있는 기능이 보안 경고 페이지에 추가됩니다.

리소스 그룹 열이 경고 표에 추가됩니다.

특정 리소스 그룹에 대한 모든 경고를 볼 수 있는 새 필터가 추가됩니다.

이제 리소스 그룹별로 경고를 그룹화하여 각 리소스 그룹에 대한 모든 경고를 볼 수도 있습니다.

엔드포인트용 Microsoft Defender 통합 솔루션 자동 프로비전

지금까지 MDE(엔드포인트용 Microsoft Defender)와의 통합에는 서버용 Defender Plan 1이 사용하도록 설정된 컴퓨터(Azure 구독 및 다중 클라우드 커넥터) 및 서버용 Defender 플랜 2가 사용하도록 설정된 멀티클라우드 커넥터에 대한 MDE 통합 솔루션의 자동 설치가 포함되었습니다. Azure 구독을 위한 플랜 2는 Linux 컴퓨터와 Windows 2019 및 2022 서버에 대해서만 통합 솔루션을 사용하도록 설정했습니다. Windows 서버 2012R2 및 2016은 Log Analytics 에이전트에 종속된 MDE 레거시 솔루션을 사용했습니다.

이제 Azure 구독 및 다중 클라우드 커넥터 모두에 대해 두 계획의 모든 컴퓨터에서 새로운 통합 솔루션을 사용할 수 있습니다. For Azure subscriptions with Servers Plan 2 that enabled MDE integration after June 20, 2022, the unified solution is enabled by default for all machines Azure subscriptions with the Defender for Servers Plan 2 enabled with MDE integration before June 20, 2022 can now enable unified solution installation for Windows servers 2012R2 and 2016 through the dedicated button in the Integrations page:

서버용 Defender와 MDE 통합에 대해 자세히 알아봅니다.

“API 앱은 HTTPS를 통해서만 액세스할 수 있어야 함” 정책의 사용 중단

정책은 API App should only be accessible over HTTPS 더 이상 사용되지 않습니다. 이 정책은 정책으로 Web Application should only be accessible over HTTPS 바뀝니다. 이 정책의 이름은 .로 바뀝니다 App Service apps should only be accessible over HTTPS.

Azure App Service에 대한 정책 정의의 자세한 내용은 Azure App Service에 대한 Azure Policy 기본 제공 정의를 참조하세요.

새로운 Key Vault 경고

Key Vault용 Microsoft Defender에서 제공하는 위협 방지 기능을 확장하기 위해 두 가지 새로운 경고를 추가했습니다.

이러한 경고는 액세스 거부된 변칙을 알리고 모든 키 자격 증명 모음에 대해 검색됩니다.

경고(경고 유형)	Description	MITRE tactics	Severity
비정상적 액세스 거부됨 - 사용자가 대량의 키 자격 증명 모음에 액세스하는 것을 거부했습니다. (KV_DeniedAccountVolumeAnomaly)	사용자 또는 서비스 주체가 지난 24시간 동안 비정상적으로 많은 양의 키 자격 증명 모음에 대한 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 활동일 수 있습니다. 이 시도는 성공하지 못했지만 키 자격 증명 모음과 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도로 이어질 수 있습니다. 추가 조사를 권장합니다.	Discovery	Low
비정상적 액세스 거부됨 - 비정상적인 사용자 액세스 키 자격 증명 모음 거부됨 (KV_UserAccessDeniedAnomaly)	일반적으로 액세스하지 않는 사용자가 키 자격 증명 모음 액세스를 시도했습니다. 이 비정상적인 액세스 패턴은 합법적인 작업일 수 있습니다. 이 시도는 성공하지 못했지만 키 자격 증명 모음과 그 안에 포함된 비밀에 대한 액세스 권한을 얻으려는 시도로 이어질 수 있습니다.	초기 액세스, 검색	Low

May 2022

5월 업데이트는 다음과 같습니다.

이제 커넥터 수준에서 서버 계획의 다중 클라우드 설정을 사용할 수 있음
이제 AWS EC2 인스턴스에서 VM에 대한 JIT(Just-In-Time) 액세스를 사용할 수 있음(미리 보기)
CLI를 사용하여 AKS 클러스터용 Defender 센서 추가 및 제거

이제 커넥터 수준에서 서버 계획의 다중 클라우드 설정을 사용할 수 있음

이제 다중 클라우드의 서버용 Defender에 대한 커넥터 수준 설정이 있습니다.

새 커넥터 수준 설정은 구독과 독립적으로 커넥터당 가격 책정 및 자동 프로비전 구성에 대한 세분성을 제공합니다.

커넥터 수준에서 사용할 수 있는 모든 자동 프로비전 구성 요소(Azure Arc, MDE 및 취약성 평가)는 기본적으로 사용하도록 설정되며, 새 구성은 플랜 1 및 플랜 2 가격 책정 계층을 모두 지원합니다.

UI의 업데이트에는 선택한 가격 책정 계층과 구성된 필수 구성 요소의 반영이 포함됩니다.

다중 클라우드 커넥터가 활성화된 자동 프로비전 페이지의 스크린샷.

취약성 평가 변경

이제 컨테이너용 Defender는 패치할 수 없는 중간 수준 및 낮은 수준의 심각도가 있는 취약성을 표시합니다.

이 업데이트의 일부로 패치를 사용할 수 있는지 여부에 관계없이 심각도가 중간 및 낮은 수준의 취약성이 표시됩니다. 이 업데이트는 가시성을 최대화하지만 제공된 비활성화 규칙을 사용하여 원치 않는 취약성을 필터링할 수 있습니다.

사용 중지 규칙 화면의 스크린샷.

Learn more about vulnerability management

이제 AWS EC2 인스턴스에서 VM에 대한 JIT(Just-In-Time) 액세스를 사용할 수 있음(미리 보기)

AWS 계정을 연결할 때 JIT가 인스턴스의 보안 그룹의 네트워크 구성을 자동으로 평가하고 노출된 관리 포트에 대한 보호가 필요한 인스턴스를 권장합니다. 이는 JIT가 Azure에서 작동하는 방식과 비슷합니다. 보호되지 않는 EC2 인스턴스를 온보딩하면 JIT는 관리 포트에 대한 공용 액세스를 차단하고 제한된 시간 프레임에 대한 권한 있는 요청으로만 엽니다.

JIT가 AWS EC2 인스턴스를 보호하는 방법 알아보기

CLI를 사용하여 AKS 클러스터용 Defender 센서 추가 및 제거

The Defender agent is required for Defender for Containers to provide the runtime protections and collects signals from nodes. 이제 Azure CLI 를 사용하여 AKS 클러스터에 대한 Defender 에이전트 를 추가하고 제거할 수 있습니다.

Note

이 옵션은 Azure CLI 3.7 이상에 포함되어 있습니다.

April 2022

4월의 업데이트는 다음과 같습니다.

새 서버용 Defender 플랜
사용자 지정 권장 사항 재배치
Splunk 및 QRadar로 경고를 스트리밍하는 PowerShell 스크립트
Azure Cache for Redis 권장 사항이 사용되지 않음
중요한 데이터의 노출을 검색하기 위한 스토리지용 Microsoft Defender(미리 보기)의 새로운 경고 변형
IP 주소 평판으로 보강된 컨테이너 검사 경고 제목
보안 경고와 관련된 활동 로그 보기

새 서버용 Defender 플랜

이제 서버용 Microsoft Defender가 두 가지 증분 플랜으로 제공됩니다.

서버용 Defender 플랜 2(이전의 서버용 Defender)
서버용 Defender 플랜 1은 엔드포인트용 Microsoft Defender만 지원합니다.

서버용 Microsoft Defender 플랜 2는 클라우드 및 온-프레미스 워크로드에 대한 위협과 취약성으로부터 계속 보호해 주지만, 서버용 Microsoft Defender 플랜 1은 기본적으로 통합된 엔드포인트용 Defender에서 제공한 엔드포인트만 보호해 줍니다. 서버용 Defender 플랜에 대해 자세히 알아봅니다.

지금까지 서버용 Defender를 사용해 왔다면 아무 작업도 필요하지 않습니다.

클라우드용 Defender는 Windows Server 2012 R2 및 2016의 엔드포인트용 Defender 통합 에이전트에 대한 점진적인 지원도 시작합니다. 서버용 Defender 플랜 1은 Windows Server 2012 R2 및 2016 워크로드에 새로운 통합 에이전트를 배포합니다.

사용자 지정 권장 사항 재배치

사용자 지정 권장 사항은 사용자가 만든 권장 사항으로, 보안 점수에 영향을 주지 않습니다. 이제 모든 권장 사항 탭에서 사용자 지정 권장 사항을 확인할 수 있습니다.

새 ‘권장 사항 유형’ 필터를 이용해 사용자 지정 권장 사항을 찾습니다.

사용자 지정 보안 이니셔티브 및 정책 만들기에서 자세히 알아봅니다.

Splunk 및 IBM QRadar로 경고를 스트리밍하는 PowerShell 스크립트

Event Hubs 및 기본 제공 커넥터를 사용하여 Splunk 및 IBM QRadar로 보안 경고를 내보내는 것이 좋습니다. 이제 PowerShell 스크립트를 사용하여 구독 또는 테넌트에 대한 보안 경고를 내보내는 데 필요한 Azure 리소스를 설정할 수 있습니다.

PowerShell 스크립트를 다운로드하여 실행하기만 하면 합니다. 몇 가지 환경 세부 정보를 제공하면 스크립트에서 리소스를 구성합니다. 그러면 스크립트가 SIEM 플랫폼에서 통합을 완료하는 데 사용하는 출력을 생성합니다.

자세히 알아보려면 Splunk 및 QRadar에 경고 스트림을 참조하세요.

Azure Cache for Redis 권장 사항이 사용되지 않음

권장 사항 Azure Cache for Redis should reside within a virtual network (미리 보기)은 더 이상 사용되지 않습니다. Azure Cache for Redis 인스턴스를 보호하기 위한 지침을 변경했습니다. 프라이빗 엔드포인트를 사용해 가상 네트워크 대신 Azure Cache for Redis 인스턴스에 대한 액세스를 제한하는 것이 좋습니다.

중요한 데이터의 노출을 검색하기 위한 스토리지용 Microsoft Defender(미리 보기)의 새로운 경고 변형

스토리지용 Microsoft Defender의 경고는 성공 여부를 불문하고 위협 행위자가 중요한 정보를 유출하기 위해 공개적으로 잘못 구성된 개방형 스토리지 컨테이너를 검사 및 노출하려고 시도하는 경우 사용자에게 알려 줍니다.

더 빠른 심사 및 응답 시간을 허용하기 위해 잠재적으로 중요한 데이터의 반출이 발생했을 수 있는 경우 기존 Publicly accessible storage containers have been exposed 경고에 대한 새로운 변형을 릴리스했습니다.

새 경고 Publicly accessible storage containers with potentially sensitive data have been exposed는 통계적으로 거의 공개적으로 노출되지 High 않는 이름이 있는 공개적으로 열린 스토리지 컨테이너를 성공적으로 검색한 후 심각도 수준으로 트리거되며, 이는 중요한 정보를 보유할 수 있음을 시사합니다.

경고(경고 유형)	Description	MITRE tactic	Severity
미리 보기 - 잠재적으로 중요한 데이터가 포함된, 공개적으로 액세스할 수 있는 스토리지 컨테이너가 노출됨 (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)	누군가 Azure Storage 계정과 공개 액세스를 허용하는 노출된 컨테이너를 검사했습니다. 노출된 컨테이너 중 하나 이상에는 중요한 데이터가 포함될 수 있음을 나타내는 이름이 있습니다. 이는 일반적으로 중요한 데이터를 포함할 수 있는 잘못 구성된 공개적으로 액세스할 수 있는 스토리지 컨테이너를 검색하는 위협 행위자의 정찰을 나타냅니다. 위협 행위자가 컨테이너를 성공적으로 검색한 후에는 데이터를 계속 내보내서 계속할 수 있습니다. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2	Collection	High

IP 주소 평판으로 보강된 컨테이너 검사 경고 제목

IP 주소의 평판은 검사 활동이 알려진 위협 행위자에게서 비롯된 것인지, 아니면 Tor 네트워크를 사용해 ID를 숨기는 행위자에게서 비롯된 것인지를 나타낼 수 있습니다. 이 두 지표는 모두 악의적인 의도가 있음을 시사합니다. IP 주소의 평판은 Microsoft 위협 인텔리전스에서 제공합니다.

경고 제목에 IP 주소의 평판을 추가하면 행위자의 의도와 위협의 심각도를 신속하게 평가할 수 있습니다.

다음 경고에 포함된 정보는 아래와 같습니다.

Publicly accessible storage containers have been exposed
Publicly accessible storage containers with potentially sensitive data have been exposed
Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

예를 들어 Publicly accessible storage containers have been exposed 경고의 제목에 추가된 정보는 다음과 같습니다.

Publicly accessible storage containers have been exposedby a suspicious IP address
Publicly accessible storage containers have been exposedby a Tor exit node

스토리지용 Microsoft Defender에 대한 모든 경고는 경고의 관련 엔터티 섹션 아래에 있는 IP 엔터티에 위협 인텔리전스 정보를 계속 포함합니다.

보안 경고와 관련된 활동 로그 보기

보안 경고를 평가하기 위해 수행할 수 있는 작업의 일부로 리소스 컨텍스트 검사에서 관련 플랫폼 로그를 찾아 영향을 받는 리소스에 대한 컨텍스트를 얻을 수 있습니다. 클라우드용 Microsoft Defender는 경고 발생 1일 이내의 플랫폼 로그를 식별합니다.

플랫폼 로그는 보안 위협을 평가하고 식별된 위험을 완화하기 위해 수행할 수 있는 단계를 식별하는 데 도움이 될 수 있습니다.

March 2022

3월 업데이트는 다음과 같습니다.

AWS 및 GCP 환경에 대한 보안 점수의 글로벌 가용성
네트워크 트래픽 데이터 수집 에이전트 설치 권장 사항 더 이상 사용되지 않음
컨테이너용 Defender는 이제 Windows 이미지의 취약성을 검사할 수 있습니다(미리 보기)
스토리지용 Microsoft Defender(미리 보기)에 대한 새로운 경고
경고로 인한 이메일 알림 설정 구성
사용되지 않는 미리 보기 경고: ARM.MCAS_ActivityFromAnonymousIPAddresses
컨테이너 보안 구성의 취약성을 보안 점수에서 모범 사례로 수정해야 한다는 권장 사항을 이동했습니다.
서비스 주체를 사용하여 구독을 보호하라는 권장 사항 더 이상 사용되지 않음
ISO 27001의 레거시 구현이 새 ISO 27001:2013 이니셔티브로 바뀜
사용되지 않는 IoT용 Microsoft Defender 디바이스 권장 사항
사용되지 않는 IoT용 Microsoft Defender 디바이스 경고
GA(일반 공급)용으로 릴리스된 AWS 및 GCP에 대한 태세 관리와 위협 방지
ACR에서 Windows 이미지에 대한 레지스트리 검사에는 국가별 클라우드에 대한 지원이 추가됨

AWS 및 GCP 환경에 대한 보안 점수의 글로벌 가용성

클라우드용 Microsoft Defender에서 제공하는 클라우드 보안 태세 관리 기능에는 현재 보안 점수 내에 AWS 및 GCP 환경에 대한 지원이 추가되었습니다.

이제 기업은 Azure, AWS, GCP 같은 다양한 환경에서 전반적인 보안 태세를 볼 수 있습니다.

보안 점수 페이지가 보안 상태 대시보드로 대체됩니다. 보안 태세 대시보드를 사용하면 모든 환경에 대한 전체 결합 점수를 보거나, 선택한 환경의 조합에 따라 보안 태세를 분석할 수 있습니다.

또한 권장 사항 페이지는 클라우드 환경 선택, 콘텐츠 기반 고급 필터(리소스 그룹, AWS 계정, GCP 프로젝트 등), 저해상도에서 향상된 사용자 인터페이스, 리소스 그래프에서 열린 쿼리 지원 등과 같은 새로운 기능을 제공하도록 다시 디자인되었습니다. You can learn more about your overall security posture and security recommendations.

네트워크 트래픽 데이터 수집 에이전트 설치 권장 사항 더 이상 사용되지 않음

로드맵 및 우선 순위의 변경으로 인해 네트워크 트래픽 데이터 수집 에이전트가 필요하지 않게 되었습니다. 다음의 두 가지 권장 사항과 관련 정책은 더 이상 사용되지 않습니다.

Recommendation	Description	Severity
Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함	클라우드용 Microsoft Defender에서는 Microsoft Dependency Agent를 사용하여 Azure Virtual Machines에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협 같은 고급 네트워크 보호 기능을 사용할 수 있게 해줍니다.	Medium
Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 합니다.	클라우드용 Microsoft Defender에서는 Microsoft Dependency Agent를 사용하여 Azure Virtual Machines에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협 같은 고급 네트워크 보호 기능을 사용할 수 있게 해줍니다.	Medium

컨테이너용 Defender는 이제 Windows 이미지의 취약성을 검사할 수 있습니다(미리 보기)

컨테이너용 Defender의 이미지 검사는 이제 Azure Container Registry에서 호스팅되는 Windows 이미지를 지원합니다. 이 기능은 미리 보기 중에는 무료이며 일반적으로 사용할 수 있게 되면 비용이 발생합니다.

컨테이너용 Microsoft Defender를 사용하여 이미지에서 취약성 검사에서 자세히 알아보세요.

스토리지용 Microsoft Defender(미리 보기)에 대한 새로운 경고

스토리지용 Microsoft Defender에서 제공하는 위협 방지 기능을 확장하기 위해 새로운 미리 보기 경고를 추가했습니다.

공격자는 애플리케이션과 도구를 사용하여 스토리지 계정을 검색하고 액세스합니다. 스토리지용 Microsoft Defender는 이러한 애플리케이션과 도구를 검색하여 사용자가 차단하고 상태를 수정할 수 있도록 합니다.

이 미리 보기 경고를 Access from a suspicious application이라고 합니다. 경고는 Azure Blob Storage 및 ADLS Gen2에만 관련됩니다.

경고(경고 유형)	Description	MITRE tactic	Severity
미리 보기 - 의심스러운 애플리케이션에서 액세스 (Storage.Blob_SuspiciousApp)	의심스러운 애플리케이션이 인증을 사용하여 스토리지 계정의 컨테이너에 성공적으로 액세스했음을 나타냅니다. 이는 공격자가 계정에 액세스하는 데 필요한 자격 증명을 얻었고 이를 악용하고 있음을 나타내는 것일 수 있습니다. 이는 또한 조직에서 수행된 침투 테스트의 표시일 수 있습니다. 적용 대상: Azure Blob Storage, Azure Data Lake Storage Gen2	Initial Access	Medium

경고로 인한 이메일 알림 설정 구성

현재 구독에서 트리거되는 경고에 대한 메일 알림 받을 사용자를 보고 편집할 수 있는 경고 UI(사용자 인터페이스)에 새 섹션이 추가되었습니다.

이메일 알림을 구성하는 방법을 보여 주는 새 UI 스크린샷

보안 경고에 대한 이메일 알림 구성 방법에 대해 알아봅니다.

사용되지 않는 미리 보기 경고: ARM.MCAS_ActivityFromAnonymousIPAddresses

다음 미리 보기 경고는 더 이상 사용되지 않습니다.

Alert name

Description

미리 보기 - 위험한 IP 주소의 활동
(ARM.MCAS_ActivityFromAnonymousIPAddresses)

익명 프록시 IP 주소로 식별된 IP 주소의 사용자 활동이 검색되었습니다.
이 프록시는 해당 장치의 IP 주소를 숨기려는 사용자가 사용하며 악의적인 의도로 사용될 수 있습니다. 이 검색은 조직의 사용자가 널리 사용하는 잘못된 태그가 지정된 IP 주소와 같은 가양성(false positives)을 줄이는 기계 학습 알고리즘을 사용합니다.
활성 Microsoft Defender for Cloud Apps 라이선스가 필요합니다.

이 정보를 제공하고 여기에 추가하는 새 경고가 생성되었습니다. 또한 최신 경고(ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP)에는 Microsoft Defender for Cloud Apps(이전의 Microsoft Cloud App Security)에 대한 라이선스가 필요하지 않습니다.

See more alerts for Resource Manager.

컨테이너 보안 구성의 취약성을 보안 점수에서 모범 사례로 수정하라는 권장 사항을 이동했습니다.

권장 사항은 Vulnerabilities in container security configurations should be remediated 보안 점수 섹션에서 모범 사례 섹션으로 이동되었습니다.

현재 사용자 환경은 모든 규정 준수 검사를 통과한 경우에만 점수를 제공합니다. 대부분의 고객은 필요한 모든 확인 사항을 충족하는 데 어려움을 겪습니다. Microsoft는 이 권장 사항에 맞게 개선된 환경을 제공하기 위해 노력하고 있으며, 릴리스되면 권장 사항이 보안 점수로 다시 이동됩니다.

서비스 주체를 사용하여 구독을 보호하라는 권장 사항 더 이상 사용되지 않음

조직이 구독을 관리하는 데 관리 인증서를 사용하지 않는 추세와 클라우드 서비스(클래식) 배포 모델을 사용 중지한다는 최근 발표에 따라 다음 클라우드용 Defender 권장 사항 및 관련 정책은 더 이상 사용하지 않습니다.

Recommendation	Description	Severity
서비스 주체를 사용하여 관리 인증서 대신 구독을 보호해야 합니다.	관리 인증서를 사용하면 해당 인증서로 인증된 사람은 누구나 연결된 구독을 관리할 수 있습니다. 구독을 보다 안전하게 관리하려면 Resource Manager에서 서비스 주체를 사용하여 인증서 손상 시 폭발 반경을 제한하는 것이 좋습니다. 또한 리소스 관리를 자동화합니다. (관련 정책: 서비스 주체를 사용하여 관리 인증서 대신 구독을 보호해야 합니다.	Medium

Learn more:

ISO 27001의 레거시 구현이 새 ISO 27001:2013 이니셔티브로 바뀜

ISO 27001의 레거시 구현은 클라우드용 Defender 규정 준수 대시보드에서 제거되었습니다. 클라우드용 Defender에 대한 ISO 27001 준수를 추적하는 경우 모든 관련 관리 그룹 또는 구독에 대한 새로운 ISO 27001:2013 표준을 온보딩합니다.

사용되지 않는 IoT용 Microsoft Defender 디바이스 권장 사항

IoT 디바이스 권장 사항용 Microsoft Defender는 클라우드용 Microsoft Defender에서 더 이상 표시되지 않습니다. 이러한 권장 사항은 IoT용 Microsoft Defender의 권장 사항 페이지에서 계속 사용할 수 있습니다.

다음 권장 사항은 더 이상 사용되지 않습니다.

Assessment key	Recommendations
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT 디바이스	디바이스에서 포트 열기
ba975338-f956-41e7-a9f2-7614832d382d: IoT 디바이스	입력 체인 중 하나에서 허용 방화벽 규칙을 찾음
beb62be3-5e78-49bd-ac5f-099250ef3c7c: IoT 디바이스	체인 중 하나에서 허용 방화벽 정책을 찾았습니다.
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT 디바이스	출력 체인 중 하나에서 허용 방화벽 규칙을 찾았습니다.
5f65e47f-7a00-4bf3-acae-90ee441ee876: IoT 디바이스	운영 체제 기준 유효성 검사 실패
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT 디바이스	사용률이 낮은 메시지를 보내는 에이전트
2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT 디바이스	TLS 암호 제품군 업그레이드 필요
d74d2738-2485-4103-9919-69c7e63776ec: IoT 디바이스	`Auditd` 프로세스에서 이벤트 전송을 중지했습니다.

사용되지 않는 IoT용 Microsoft Defender 디바이스 경고

모든 IoT용 Microsoft Defender 디바이스 경고는 더 이상 클라우드용 Microsoft Defender에 표시되지 않습니다. 이러한 경고는 IoT용 Microsoft Defender 경고 페이지와 Microsoft Sentinel에서 계속 사용할 수 있습니다.

GA(일반 공급)용으로 릴리스된 AWS 및 GCP에 대한 태세 관리와 위협 방지

클라우드용 Defender의 CSPM 기능은 AWS 및 GCP 리소스로 확장됩니다. 이 에이전트 없는 플랜은 보안 점수에 포함되는 클라우드별 보안 권장 사항에 따라 다중 클라우드 리소스를 평가합니다. 리소스는 기본 제공 표준을 사용하여 규정 준수를 평가합니다. 클라우드용 Defender의 자산 인벤토리 페이지는 Azure 리소스와 함께 AWS 리소스를 관리할 수 있는 다중 클라우드 지원 기능입니다.
서버용 Microsoft Defender는 AWS 및 GCP의 컴퓨팅 인스턴스에 위협 검색 및 고급 방어 기능을 제공합니다. 서버용 Defender 플랜에는 엔드포인트용 Microsoft Defender, 취약성 평가 검사 등에 대한 통합 라이선스가 포함되어 있습니다. 가상 머신과 서버에 지원되는 모든 기능에 대해 알아보세요. 자동 온보딩 기능을 통해 사용자 환경에서 검색된 기존의 또는 새로운 컴퓨팅 인스턴스를 쉽게 연결할 수 있습니다.

Learn how to protect and connect your AWS environment and GCP organization with Microsoft Defender for Cloud.

ACR에서 Windows 이미지에 대한 레지스트리 검사에는 국가별 클라우드에 대한 지원이 추가됨

이제 21Vianet에서 운영하는 Azure Government 및 Microsoft Azure에서 Windows 이미지에 대한 레지스트리 검색이 지원됩니다. 이 추가 기능은 현재 미리 보기로 제공됩니다.

Learn more about our feature's availability.

February 2022

2월 업데이트는 다음과 같습니다.

Arc 지원 Kubernetes 클러스터를 위한 Kubernetes 워크로드 보호
GCP용 네이티브 CSPM 및 GCP 컴퓨팅 인스턴스용 위협 방지
미리 보기용으로 릴리스된 Azure Cosmos DB용 Microsoft Defender 플랜
GKE(Google Kubernetes Engine) 클러스터에 대한 위협 방지

Arc 지원 Kubernetes 클러스터에 대한 Kubernetes 워크로드 보호

이전에 컨테이너용 Defender는 Azure Kubernetes Service에서 실행되는 Kubernetes 워크로드만 보호했습니다. 이제 Azure Arc 지원 Kubernetes 클러스터를 포함하도록 보호 범위를 확장했습니다.

AKS 및 Azure Arc 지원 Kubernetes 클러스터에 대해 Kubernetes 워크로드 보호를 설정하는 방법을 알아봅니다.

GCP용 네이티브 CSPM 및 GCP 컴퓨팅 인스턴스용 위협 방지

GCP 환경의 새로운 자동화된 온보딩을 통해 클라우드용 Microsoft Defender로 GCP 워크로드를 보호할 수 있습니다. 클라우드용 Defender는 다음 플랜으로 리소스를 보호합니다.

클라우드용 Defender의 CSPM 기능은 GCP 리소스로 확장됩니다. 이 에이전트 없는 플랜은 클라우드용 Defender와 함께 제공되는 GCP별 보안 권장 사항에 따라 GCP 리소스를 평가합니다. GCP 권장 사항은 보안 점수에 포함되며 리소스는 기본 제공되는 GCP CIS 표준을 준수하는지 평가됩니다. 클라우드용 Defender의 자산 인벤토리 페이지는 Azure, AWS 및 GCP에서 리소스를 관리할 수 있도록 하는 다중 클라우드 지원 기능입니다.
서버용 Microsoft Defender는 GCP 컴퓨팅 인스턴스에 위협 검색 및 고급 방어 기능을 제공합니다. 이 플랜에는 엔드포인트용 Microsoft Defender, 취약성 평가 검사 등에 대한 통합 라이선스가 포함됩니다.

사용 가능한 기능의 전체 목록은 가상 머신 및 서버에 지원되는 기능을 참조하세요. 자동 온보딩 기능을 사용하면 환경에서 발견된 기존 및 새로운 컴퓨팅 인스턴스를 쉽게 연결할 수 있습니다.

클라우드용 Microsoft Defender를 사용하여 보호하고 GCP 프로젝트를 연결하는 방법을 알아봅니다.

미리 보기용으로 릴리스된 Azure Cosmos DB용 Microsoft Defender 플랜

클라우드용 Microsoft Defender 데이터베이스 범위를 확장했습니다. 이제 Azure Cosmos DB 데이터베이스에 대한 보호를 사용하도록 설정할 수 있습니다.

Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정의 데이터베이스를 악용하려는 모든 시도를 검색하는 Azure 네이티브 보안 계층입니다. Azure Cosmos DB용 Microsoft Defender는 잠재적인 SQL 삽입, Microsoft 위협 인텔리전스 기반의 알려진 악의적인 행위자, 의심스러운 액세스 패턴, 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스 악용 가능성을 감지합니다.

Azure Cosmos DB 서비스에서 생성된 고객 데이터 스트림을 지속적으로 분석합니다.

잠재적으로 악의적인 활동이 감지되면 보안 경고가 생성됩니다. 이러한 경고는 관련 조사 단계, 수정 작업, 보안 권장 사항에 더불어 의심스러운 활동의 세부 정보와 함께 클라우드용 Microsoft Defender에 표시됩니다.

Azure Cosmos DB용 Defender는 Azure Cosmos DB 계정 데이터에 액세스하지 않으므로 서비스를 사용하도록 설정해도 데이터베이스 성능에는 영향이 없습니다.

Azure Cosmos DB용 Microsoft Defender 개요에서 자세히 알아봅니다.

또한 데이터베이스 보안을 위한 새로운 사용 환경을 도입하고 있습니다. 이제 구독에서 클라우드용 Microsoft Defender 보호를 사용하도록 설정하여 하나의 사용 설정 프로세스를 통해 Azure Cosmos DB, Azure SQL Database, 컴퓨터의 Azure SQL Server, 오픈 소스 관계형 데이터베이스용 Microsoft Defender와 같은 모든 데이터베이스 형식을 보호할 수 있습니다. 플랜을 구성하여 특정 리소스 종류를 포함하거나 제외할 수 있습니다.

구독 수준에서 데이터베이스 보안을 사용하도록 설정하는 방법을 알아봅니다.

GKE(Google Kubernetes Engine) 클러스터에 대한 위협 방지

최근 발표된 GCP용 네이티브 CSPM 및 GCP용 위협 방지 컴퓨팅 인스턴스에 따라 컨테이너용 Microsoft Defender는 Kubernetes 위협 방지, 동작 분석 및 네이티브 제공 허용 제어 정책을 GKE(Google Kubernetes Engine) 표준 클러스터로 확장했습니다. 자동 온보딩 기능을 통해 기존 또는 새 GKE 표준 클러스터를 환경에 쉽게 온보딩할 수 있습니다. 사용 가능한 전체 기능 목록은 클라우드용 Microsoft Defender를 사용한 컨테이너 보안을 확인하세요.

January 2022

1월의 업데이트는 다음과 같습니다.

Microsoft Defender for Resource Manager가 새로운 경고로 업데이트되었으며 MITRE ATT&CK® Matrix에 매핑된 고위험 작업에 더 중점을 두었습니다.
작업 영역에서 Microsoft Defender에서 계획을 사용하도록 설정하기 위한 권장 사항(미리 보기)
Azure Arc 지원 머신에 Log Analytics 에이전트 자동 프로비전(미리 보기)
SQL 데이터베이스에서 중요한 정보를 분류하기 위한 권장 사항은 더 이상 사용되지 않음
알려진 Log4Shell 관련 도메인을 포함하도록 확장된 의심스러운 도메인 경고와의 통신
보안 경고 세부 정보 창에 '경고 JSON 복사' 단추가 추가됨
권장 사항 2개의 이름이 변경됨
더 이상 사용되지 않는 Kubernetes 클러스터 컨테이너는 허용된 포트 정책에서만 수신 대기해야 함
'활성 경고' 통합 문서 추가
정부 클라우드에 '시스템 업데이트' 권장 사항 추가

Microsoft Defender for Resource Manager가 새로운 경고로 업데이트되었으며 MITRE ATT&CK® Matrix에 매핑된 고위험 작업에 더 중점을 두었습니다.

클라우드 관리 계층은 모든 클라우드 리소스에 연결된 중요한 서비스입니다. 이 때문에 공격자의 잠재적 대상이기도 합니다. 보안 운영 팀이 리소스 관리 계층을 면밀히 모니터링하는 것이 좋습니다.

Microsoft Defender for Resource Manager는 Azure Portal, Azure REST API, Azure CLI 또는 다른 Azure 프로그래밍 클라이언트를 통해 수행되는지 여부와 관계없이 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Defender for Cloud는 고급 보안 분석을 실행하여 위협을 감지하고 의심스러운 활동에 대해 경고합니다.

이 플랜의 보호 기능은 공격자의 공격에 대한 조직의 복원력을 크게 향상시키고 클라우드용 Defender가 보호하는 Azure 리소스의 수를 크게 늘립니다.

2020년 12월에 Resource Manager용 Defender의 미리 보기를 도입했으며 해당 플랜은 2021년 5월에 일반 공급용으로 릴리스되었습니다.

이 업데이트를 통해 Resource Manager용 Microsoft Defender 플랜의 초점을 포괄적으로 수정했습니다. 업데이트된 플랜에는 위험도가 높은 작업의 의심스러운 호출을 식별하는 데 중점을 둔 많은 새로운 경고가 포함되어 있습니다. These new alerts provide extensive monitoring for attacks across the completeMITRE ATT&CK® matrix for cloud-based techniques.

이 매트릭스는 조직의 리소스 를 대상으로 할 수 있는 위협 행위자의 잠재적 의도 범위를 다룹니다. 초기 액세스, 실행, 지속성, 권한 상승, 방어 회피, 자격 증명 액세스, 검색, 횡적 이동, 수집, 반출 및 영향.

이 Defender 플랜에 대한 새로운 경고는 다음 표와 같이 이러한 의도를 다룹니다.

Tip

이러한 경고는 경고 참조 페이지에도 나타납니다.

경고(경고 유형)	Description	MITRE 전술(의도)	Severity
위험 수준이 높은 ‘초기 액세스’ 작업의 의심스러운 호출 감지됨(미리 보기) (ARM_AnomalousOperation.InitialAccess)	Resource Manager용 Microsoft Defender는 구독에서 제한된 리소스에 액세스하려는 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 해당 환경에 효율적으로 액세스할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경의 제한된 리소스에 대한 초기 액세스를 얻을 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.	Initial Access	Medium
고위험 '실행' 작업의 의심스러운 호출이 검색됨(미리 보기) (ARM_AnomalousOperation.Execution)	Resource Manager용 Microsoft Defender는 구독의 컴퓨터에서 코드 실행 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.	Execution	Medium
고위험 '지속성' 작업의 의심스러운 호출이 검색됨(미리 보기) (ARM_AnomalousOperation.Persistence)	Resource Manager용 Microsoft Defender는 구독에서 지속성을 설정하려는 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 사용자 환경에서 지속성을 설정할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.	Persistence	Medium
고위험 '권한 상승' 작업의 의심스러운 호출이 검색됨(미리 보기) (ARM_AnomalousOperation.PrivilegeEscalation)	Resource Manager용 Microsoft Defender는 구독에서 권한 상승 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키면서 권한을 에스컬레이션할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.	Privilege Escalation	Medium
고위험 '방어 회피' 작업의 의심스러운 호출이 검색됨(미리 보기) (ARM_AnomalousOperation.DefenseEvasion)	Resource Manager용 Microsoft Defender는 구독에서 방어를 회피하려는 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경의 보안 태세를 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키는 동안 검색되지 않도록 할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.	Defense Evasion	Medium
위험 수준이 높은 ‘자격 증명 액세스’ 작업의 의심스러운 호출 감지됨(미리 보기) (ARM_AnomalousOperation.CredentialAccess)	Resource Manager용 Microsoft Defender는 구독에서 의심스러운 고위험 작업 호출을 식별했으며 이는 자격 증명에 액세스하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 해당 환경에 효율적으로 액세스할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.	Credential Access	Medium
고위험 '측면 이동' 작업의 의심스러운 호출이 검색됨(미리 보기) (ARM_AnomalousOperation.LateralMovement)	Resource Manager용 Microsoft Defender는 구독에서 고위험 작업의 의심스러운 호출을 식별했으며 이는 측면 이동을 수행하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 사용자 환경에서 추가 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.	Lateral Movement	Medium
고위험 '데이터 컬렉션' 작업의 의심스러운 호출이 검색됨(미리 보기) (ARM_AnomalousOperation.Collection)	Resource Manager용 Microsoft Defender는 구독에서 데이터 수집 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 사용자 환경의 리소스에 대한 중요한 데이터를 수집할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.	Collection	Medium
고위험 '영향' 작업의 의심스러운 호출이 검색됨(미리 보기) (ARM_AnomalousOperation.Impact)	Resource Manager용 Microsoft Defender는 구독에서 구성 변경 시도를 나타낼 수 있는 고위험 작업의 의심스러운 호출을 식별했습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.	Impact	Medium

또한 이 플랜의 다음 두 가지 경고가 미리 보기에서 제외되었습니다.

경고(경고 유형)	Description	MITRE 전술(의도)	Severity
의심스러운 IP 주소에서 Azure Resource Manager 작업 (ARM_OperationFromSuspiciousIP)	Resource Manager용 Microsoft Defender는 위협 인텔리전스 피드에서 의심스러운 것으로 표시된 IP 주소에서 작업을 발견했습니다.	Execution	Medium
의심스러운 프록시 IP 주소에서 Azure Resource Manager 작업 (ARM_OperationFromSuspiciousProxyIP)	Resource Manager용 Azure Defender가 TOR과 같은 프록시 서비스와 연결된 IP 주소에서의 리소스 관리 작업을 감지했습니다. 이 동작은 합법적일 수 있지만 위협 행위자가 원본 IP를 숨기려고 할 때 악의적인 활동에서 자주 볼 수 있습니다.	Defense Evasion	Medium

작업 영역에서 Microsoft Defender 플랜을 사용하도록 설정하기 위한 권장 사항(미리 보기)

서버용 Microsoft Defender 및 컴퓨터에 있는 SQL용 Microsoft Defender에서 제공하는 모든 보안 기능을 활용하려면, 구독과 작업 영역 수준에서 모두 플랜을 사용해야 합니다.

컴퓨터가 이러한 플랜 중 하나가 사용하도록 설정된 구독에 있는 경우 전체 보호에 대한 요금이 청구됩니다. However, if that machine is reporting to a workspace without the plan enabled, you won't actually receive those benefits.

We've added two recommendations that highlight workspaces without these plans enabled, that nevertheless have machines reporting to them from subscriptions that do have the plan enabled.

둘 다 자동화된 해결('수정' 작업)을 제공하는 두 가지 권장 사항은 다음과 같습니다.

Recommendation	Description	Severity
작업 영역에서 서버용 Microsoft Defender를 사용해야 합니다.	서버용 Microsoft Defender는 Windows/Linux 컴퓨터를 위한 위협 검색 및 고급 방어 기능을 제공합니다. 이 플랜이 구독에서는 사용되지만 작업 영역에서는 사용되지 않는 상태라면 서버용 Microsoft Defender의 전체 기능에 대해 비용을 지불하고 있음에도 불구하고 일부 이점을 놓치게 됩니다. 작업 영역에서 서버용 Microsoft Defender를 사용하는 경우 해당 작업 영역에 보고하는 모든 컴퓨터에 서버용 Microsoft Defender 요금이 청구됩니다. 이는 Defender 플랜이 사용되지 않는 구독에 있는 경우에도 마찬가지입니다. 또한 구독에서 서버용 Microsoft Defender를 사용하지 않는 한, 해당 컴퓨터는 Azure 리소스에 대한 Just-In-Time VM 액세스, 적응형 애플리케이션 제어, 네트워크 검색 기능을 활용할 수 없습니다. 서버용 Microsoft Defender 개요에서 자세히 알아봅니다. (관련 정책 없음)	Medium
작업 영역에서 컴퓨터의 SQL용 Microsoft Defender를 사용하도록 설정해야 합니다.	서버용 Microsoft Defender는 Windows/Linux 컴퓨터를 위한 위협 검색 및 고급 방어 기능을 제공합니다. 이 플랜이 구독에서는 사용되지만 작업 영역에서는 사용되지 않는 상태라면 서버용 Microsoft Defender의 전체 기능에 대해 비용을 지불하고 있음에도 불구하고 일부 이점을 놓치게 됩니다. 작업 영역에서 서버용 Microsoft Defender를 사용하는 경우 해당 작업 영역에 보고하는 모든 컴퓨터에 서버용 Microsoft Defender 요금이 청구됩니다. 이는 Defender 플랜이 사용되지 않는 구독에 있는 경우에도 마찬가지입니다. 또한 구독에서 서버용 Microsoft Defender를 사용하지 않는 한, 해당 컴퓨터는 Azure 리소스에 대한 Just-In-Time VM 액세스, 적응형 애플리케이션 제어, 네트워크 검색 기능을 활용할 수 없습니다. 서버용 Microsoft Defender 개요에서 자세히 알아봅니다. (관련 정책 없음)	Medium

Azure Arc 지원 머신에 Log Analytics 에이전트 자동 프로비전(미리 보기)

클라우드용 Defender는 Log Analytics 에이전트를 사용하여 컴퓨터에서 보안 관련 데이터를 수집합니다. 에이전트는 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석을 위해 데이터를 작업 영역에 복사합니다.

클라우드용 Defender 자동 프로비전 설정에는 Log Analytics 에이전트를 포함하여 지원되는 각 확장 유형에 대한 토글이 있습니다.

하이브리드 클라우드 기능을 추가로 확장할 때 Log Analytics 에이전트를 Azure Arc에 연결된 머신으로 자동 프로비전하는 옵션이 추가되었습니다.

다른 자동 프로비전 옵션과 마찬가지로 구독 수준에서 구성됩니다.

이 옵션을 사용하도록 설정하면 작업 영역을 묻는 메시지가 표시됩니다.

Note

이 미리 보기에서는 클라우드용 Defender 만든 기본 작업 영역을 선택할 수 없습니다. Azure Arc 지원 서버에 사용할 수 있는 전체 보안 기능 집합을 받으려면 선택한 작업 영역에 관련 보안 솔루션이 설치되어 있는지 확인합니다.

SQL 데이터베이스에서 중요한 정보를 분류하기 위한 권장 사항은 더 이상 사용되지 않음

클라우드용 Defender가 클라우드 리소스에서 중요한 날짜를 식별하고 보호하는 방법에 대한 정밀 검사의 일환으로 SQL 데이터베이스의 중요한 데이터를 분류해야 함 권장 사항을 제거했습니다.

이 변경 내용에 대한 사전 공지는 클라우드용 Microsoft Defender의 중요 변경 내용 페이지에 지난 6개월 동안 표시되었습니다.

다음 경고는 이전에 DNS용 Microsoft Defender 플랜을 사용하도록 설정한 조직에서만 사용할 수 있었습니다.

이 업데이트를 사용하면 서버용 Microsoft Defender 또는 App Service용 Defender 플랜이 사용되는 구독에 대한 경고도 표시됩니다.

또한 Microsoft 위협 인텔리전스는 알려진 악성 도메인 목록을 확장하여 Log4j와 관련해서 널리 알려진 취약성 악용과 관련된 도메인을 포함합니다.

경고(경고 유형)	Description	MITRE tactics	Severity
위협 인텔리전스에서 식별된 의심스러운 도메인과의 통신 (AzureDNS_ThreatIntelSuspectDomain)	리소스에서 DNS 트랜잭션을 분석하고 위협 인텔리전스 피드로 식별된 알려진 악성 도메인과 비교하여 의심스러운 도메인과의 통신이 검색되었습니다. 공격자가 악성 도메인과의 통신을 수행하는 경우가 많고, 리소스가 손상되었음을 의미할 수 있습니다.	초기 액세스/지속성/실행/명령 및 제어/악용	Medium

보안 경고 세부 정보 창에 '경고 JSON 복사' 단추가 추가됨

사용자가 다른 사용자(예: SOC 분석가, 리소스 소유자 및 개발자)와 경고 세부 정보를 빠르게 공유할 수 있도록 보안 경고 세부 정보 창에서 하나의 단추로 특정 경고의 모든 세부 정보를 쉽게 추출하는 기능을 추가했습니다.

새 경고 복사 JSON 단추는 경고의 세부 정보를 JSON 형식으로 사용자의 클립보드에 넣습니다.

권장 사항 2개의 이름이 변경됨

다른 권장 사항 이름과의 일관성을 위해 다음 두 가지 권장 사항의 이름을 변경했습니다.

실행 중인 컨테이너 이미지에서 발견된 취약성 해결을 위한 권장 사항
- 이전 이름: 컨테이너 이미지 실행의 취약성을 수정해야 함(Qualys 제공)
- 새 이름: 컨테이너 이미지를 실행하면 취약성 발견 항목이 해결되어야 합니다.
Azure App Service에 대한 진단 로그를 사용하도록 설정하기 위한 권장 사항
- 이전 이름: App Service에서 진단 로그를 사용하도록 설정해야 합니다.
- 새 이름: App Service의 진단 로그를 사용하도록 설정해야 합니다.

사용되지 않는 Kubernetes 클러스터 컨테이너는 허용된 포트 정책에서만 수신 대기해야 합니다.

Kubernetes 클러스터 컨테이너는 허용된 포트에서만 수신 대기해야 함 권장 사항은 더 이상 사용하지 않습니다.

Policy name	Description	Effect(s)	Version
Kubernetes 클러스터 컨테이너는 허용된 포트에서만 수신 대기해야 합니다.	허용된 포트에서만 수신 대기하도록 컨테이너를 제한하여 Kubernetes 클러스터에 대한 액세스를 보호합니다. 이 정책은 일반적으로 AKS(Kubernetes Service)에서 사용할 수 있으며 AKS 엔진 및 Azure Arc 지원 Kubernetes에 대한 미리 보기입니다. 자세한 내용은 Kubernetes 클러스터용 Azure Policy 이해를 참조하세요.	감사, 거부, 사용 안 함	6.1.2

서비스는 허용된 포트에서만 수신 대기해야 함 권장 사항은 애플리케이션이 인터넷에 노출하는 포트를 제한하는 데 사용해야 합니다.

'활성 경고' 통합 문서를 추가했습니다.

사용자가 환경에 대한 활성 위협을 이해하는 데 도움을 주고 치료 프로세스 동안 활성 경고 사이의 우선 순위를 지정하기 위해 활성 경고 통합 문서를 추가했습니다.

활성 경고 통합 문서의 추가를 보여 주는 스크린샷

활성 경고 통합 문서를 사용하면 심각도, 유형, 태그, MITRE ATT&CK 전술 및 위치별로 집계된 경고의 통합 대시보드를 볼 수 있습니다. '활성 경고' 통합 문서 사용에서 자세히 알아보세요.

정부 클라우드에 '시스템 업데이트' 권장 사항 추가

이제 모든 정부 클라우드에서 '시스템 업데이트를 컴퓨터에 설치해야 합니다' 권장 사항을 사용할 수 있습니다.

이 변경 내용은 정부 클라우드 구독의 보안 점수에 영향을 미칠 가능성이 높습니다. 변경 내용으로 인해 점수가 낮아질 것으로 예상되지만 권장 사항을 포함하면 경우에 따라 점수가 높아질 수 있습니다.

December 2021

12월의 업데이트는 다음과 같습니다.

GA(일반 공급)를 위해 릴리스된 컨테이너용 Microsoft Defender 플랜
GA(일반 공급)를 위해 릴리스된 스토리지용 Microsoft Defender에 대한 새로운 경고
스토리지용 Microsoft Defender에 대한 경고 개선
네트워크 계층 경고에서 'PortSweeping' 경고가 제거됨

GA(일반 공급)를 위해 릴리스된 컨테이너용 Microsoft Defender 플랜

2년 전에 클라우드용 Microsoft Defender 내에서 Azure Defender 제품의 일부로 Kubernetes용 Defender 및 컨테이너 레지스트리용 Defender를 도입했습니다.

컨테이너용 Microsoft Defender가 릴리스되면서 이 두 가지 기존 Defender 플랜이 병합되었습니다.

새로운 플랜:

두 가지 기존 플랜의 기능 결합 - Kubernetes 클러스터에 대한 위협 검색 및 컨테이너 레지스트리에 저장된 이미지에 대한 취약성 평가
새롭고 개선된 기능 제공 - 다중 클라우드 지원, 60개 이상의 새로운 Kubernetes 인식 분석을 통한 호스트 수준 위협 탐지, 실행 중인 이미지에 대한 취약성 평가 등
Kubernetes 네이티브 대규모 온보딩 도입 - 기본적으로 플랜을 사용하도록 설정하면 모든 관련 구성 요소가 자동으로 배포되도록 구성됩니다.

이번 릴리스에서는 Kubernetes용 Defender 및 컨테이너 레지스트리용 Defender가 다음과 같이 변경되었습니다.

새 구독 - 이전의 두 가지 컨테이너 플랜은 더 이상 사용할 수 없습니다.
Existing subscriptions - Wherever they appear in the Azure portal, the plans are shown as Deprecated with instructions for how to upgrade to the newer plan

새로운 플랜은 2021년 12월 한 달간 무료입니다. 이전 플랜에서 컨테이너용 Defender로의 청구 변경 가능성과 이 플랜에 도입된 이점에 대한 자세한 내용은 컨테이너용 Microsoft Defender 소개를 참조하세요.

자세한 내용은 다음을 참조하세요.

GA(일반 공급)를 위해 릴리스된 스토리지용 Microsoft Defender에 대한 새로운 경고

공격자는 도구와 스크립트를 사용하여 중요한 데이터가 포함된 잘못 구성된 개방형 스토리지 컨테이너를 찾기 위해 공개적으로 열린 컨테이너를 검사합니다.

스토리지용 Microsoft Defender는 이러한 스캐너를 검색하여 사용자가 스캐너를 차단하고 태세를 수정할 수 있도록 합니다.

이를 감지한 미리 보기 경고를 "공용 스토리지 컨테이너의 익명 검색"이라고 합니다. To provide greater clarity about the suspicious events discovered, we've divided this into two new alerts. 이러한 경고는 Azure Blob Storage에만 관련됩니다.

검색 논리를 개선하고 경고 메타데이터를 업데이트했으며 경고 이름과 경고 형식을 변경했습니다.

다음은 새로운 경고입니다.

경고(경고 유형)	Description	MITRE tactic	Severity
공개적으로 액세스할 수 있는 스토리지 컨테이너가 성공적으로 검색되었습니다. (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)	지난 1시간 동안 검사 스크립트 또는 도구를 사용하여 스토리지 계정에서 공개적으로 열린 스토리지 컨테이너를 성공적으로 발견했습니다. 이는 일반적으로 공격자가 중요한 데이터가 포함된 잘못 구성된 개방형 스토리지 컨테이너를 찾기 위해 컨테이너 이름을 추측하여 blob을 나열하려고 하는 정찰 공격을 나타냅니다. 위협 행위자가 자체 스크립트를 사용하거나 Microburst와 같은 알려진 검색 도구를 사용하여 공개적으로 열린 컨테이너를 검색할 수 있습니다. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2	Collection	Medium
공개적으로 액세스할 수 있는 스토리지 컨테이너 검사 실패 (Storage.Blob_OpenContainersScanning.FailedAttempt)	지난 1시간 동안 공개적으로 열린 스토리지 컨테이너를 검사하려는 일련의 실패 시도가 수행되었습니다. 이는 일반적으로 공격자가 중요한 데이터가 포함된 잘못 구성된 개방형 스토리지 컨테이너를 찾기 위해 컨테이너 이름을 추측하여 blob을 나열하려고 하는 정찰 공격을 나타냅니다. 위협 행위자가 자체 스크립트를 사용하거나 Microburst와 같은 알려진 검색 도구를 사용하여 공개적으로 열린 컨테이너를 검색할 수 있습니다. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2	Collection	Low

자세한 내용은 다음을 참조하세요.

스토리지용 Microsoft Defender에 대한 경고 개선 사항

초기 액세스 경고는 이제 조사를 지원하기 위해 정확도가 향상되었으며 더 많은 데이터를 제공합니다.

공격자는 초기 액세스에서 다양한 기술을 사용하여 네트워크 내에서 탄탄한 기반을 쌓습니다. 이 단계에서 동작 변칙을 검색하는 스토리지용 Microsoft Defender 경고 중 2개에는 이제 조사를 지원하기 위해 개선된 검색 논리와 추가 데이터가 있습니다.

If you've configured automations or defined alert suppression rules for these alerts in the past, update them in accordance with these changes.

Tor 출구 노드에서 액세스 검색

Tor 출구 노드에서의 액세스는 ID를 숨기려는 공격자를 나타낼 수 있습니다.

이제 경고가 인증된 액세스에 대해서만 생성되도록 조정되어 작업이 악의적이라는 진단에 대한 정확도와 신뢰도가 높아집니다. 이 향상은 무해한 양성 비율을 줄입니다.

변칙적인 패턴은 심각도가 높고, 덜 변칙적인 패턴은 심각도가 중간입니다.

경고 이름과 설명이 업데이트되었습니다. AlertType은 변경되지 않은 상태로 유지됩니다.

경고 이름(이전): Tor 종료 노드에서 스토리지 계정으로 액세스
경고 이름(신규): Tor 출구 노드에서 인증된 액세스
경고 형식: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
설명: 스토리지 계정에 있는 하나 이상의 스토리지 컨테이너/파일 공유가 Tor(익명화 프록시)의 활성 종료 노드로 알려진 IP 주소에서 성공적으로 액세스되었습니다. 공격자는 Tor를 사용하여 자신의 작업을 역추적하기 어렵게 만듭니다. Tor 출구 노드에서 인증된 액세스는 공격자가 자신의 ID를 숨기려 한다는 표시일 수 있습니다. 적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE 전술: 초기 액세스
Severity: High/Medium

비정상적인 인증되지 않은 액세스

액세스 패턴의 변경은 위협 행위자가 액세스 구성의 실수를 악용하거나 액세스 권한을 변경하여 스토리지 컨테이너에 대한 공용 읽기 액세스를 악용할 수 있음을 나타낼 수 있습니다.

이 중간 심각도 경고는 이제 개선된 동작 논리, 더 높은 정확도 및 작업이 악의적이라는 확신으로 조정되었습니다. 이 향상은 무해한 양성 비율을 줄입니다.

경고 이름과 설명이 업데이트되었습니다. AlertType은 변경되지 않은 상태로 유지됩니다.

경고 이름(이전): 스토리지 계정에 대한 익명 액세스
경고 이름(신규): 스토리지 컨테이너에 대한 비정상적인 인증되지 않은 액세스
경고 형식: Storage.Blob_AnonymousAccessAnomaly
설명: 이 스토리지 계정은 인증 없이 액세스되었으며, 이는 일반적인 액세스 패턴의 변경 내용입니다. 이 컨테이너에 대한 읽기 액세스는 일반적으로 인증됩니다. 이는 공격자가 이 스토리지 계정의 스토리지 컨테이너에 대한 공용 읽기 권한을 악용할 수 있음을 나타낼 수 있습니다. 적용 대상: Azure Blob Storage
MITRE 전술: 컬렉션
Severity: Medium

자세한 내용은 다음을 참조하세요.

네트워크 계층 경고에서 'PortSweeping' 경고가 제거됨

비효율성으로 인해 다음 경고가 네트워크 계층 경고에서 제거되었습니다.

경고(경고 유형)	Description	MITRE tactics	Severity
발신 포트 검색 활동이 감지되었을 수 있음 (PortSweeping)	네트워크 트래픽 분석에서 %{Compromised Host}에서 의심스러운 나가는 트래픽을 감지했습니다. 이 트래픽은 포트 검색 작업의 결과일 수 있습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 이 동작이 의도적인 경우 포트 검색을 수행하는 것은 Azure 서비스 약관에 위배됩니다. 이 동작이 의도하지 않은 경우 리소스가 손상되었음을 의미할 수 있습니다.	Discovery	Medium

November 2021

Ignite 릴리스에는 다음이 포함됩니다.

Azure Security Center 및 Azure Defender는 클라우드용 Microsoft Defender가 됨
AWS용 네이티브 CSPM 및 Amazon EKS용 위협 방지, AWS EC2
데이터 민감도에 따라 보안 작업의 우선 순위 지정(Microsoft Purview 제공)(미리 보기)
Azure Security Benchmark v3을 사용한 확장된 보안 컨트롤 평가
GA(일반 공급)를 위해 릴리스된 Microsoft Sentinel 커넥터의 선택적 양방향 경고 동기화
AKS(Azure Kubernetes Service) 로그를 Microsoft Sentinel에 푸시하는 새로운 권장 사항
MITRE ATT&CK® 프레임워크에 매핑된 권장 사항 - GA(일반 공급)를 위해 릴리스됨

11월의 기타 변경 내용은 다음과 같습니다.

Microsoft 위협 및 취약성 관리가 취약성 평가 솔루션으로 추가됨 - GA(일반 공급)용으로 릴리스됨
Linux의 엔드포인트용 Microsoft Defender는 이제 서버용 Microsoft Defender에서 지원됨 - GA(일반 공급)용으로 릴리스됨
권장 사항 및 보안 발견 항목에 대한 스냅샷 내보내기(미리 보기)
GA(일반 공급)를 위해 릴리스된 취약성 평가 솔루션의 자동 프로비전
GA(일반 공급)를 위해 릴리스된 자산 인벤토리의 소프트웨어 인벤토리 필터
기본 이니셔티브에 추가된 새 AKS 보안 정책 - 미리 보기
온-프레미스 컴퓨터의 인벤토리 표시는 리소스 이름에 대해 다른 템플릿을 적용합니다.

Azure Security Center 및 Azure Defender는 클라우드용 Microsoft Defender가 됨

2021년 클라우드 현황 보고서에 따르면 현재 조직의 92%가 다중 클라우드 전략을 보유하고 있습니다. Microsoft의 목표는 환경 전반의 보안을 중앙 집중화하고 보안 팀이 보다 효과적으로 작업할 수 있도록 돕는 것입니다.

클라우드용 Microsoft Defender 는 CSPM(Cloud Security Posture Management) 및 CWPP(클라우드 워크로드 보호 플랫폼) 솔루션으로, 클라우드 구성 전반의 약점을 검색하고, 환경의 전반적인 보안 태세를 강화하고, 다중 클라우드 및 하이브리드 환경에서 워크로드를 보호합니다.

Ignite 2019에서 Microsoft는 Microsoft Defender 브랜드로 디지털 자산을 보호하고 XDR 기술을 통합하기 위한 가장 완벽한 방법을 만들기 위한 비전을 공유했습니다. 새 이름 클라우드용 Microsoft Defender Azure Security Center 및 Azure Defender를 통합하면 보안 제품의 통합 기능과 클라우드 플랫폼을 지원하는 기능이 반영됩니다.

AWS용 네이티브 CSPM 및 Amazon EKS용 위협 방지, AWS EC2

A new environment settings page provides greater visibility and control over your management groups, subscriptions, and AWS accounts. The page is designed to onboard AWS accounts at scale: connect your AWS management account, and you'll automatically onboard existing and future accounts.

새 환경 설정 페이지를 사용하여 AWS 계정 연결

AWS 계정을 추가하면 클라우드용 Defender는 다음 플랜 중 일부 또는 전체를 사용하여 AWS 리소스를 보호합니다.

클라우드용 Defender의 CSPM 기능은 AWS 리소스로 확장됩니다. 이 에이전트 없는 플랜은 AWS 관련 보안 권장 사항에 따라 AWS 리소스를 평가하며, 평가 결과는 보안 점수에 포함됩니다. 또한 리소스가 AWS(AWS CIS, AWS PCI DSS 및 AWS Foundational 보안 모범 사례)와 관련된 기본 제공 표준을 준수하는지 여부도 평가됩니다. 클라우드용 Defender의 자산 인벤토리 페이지는 Azure 리소스와 함께 AWS 리소스를 관리하는 데 도움이 되는 다중 클라우드 지원 기능입니다.
Kubernetes용 Microsoft Defender는 컨테이너 위협 탐지 및 고급 방어를 Amazon EKS Linux 클러스터로 확장합니다.
서버용 Microsoft Defender는 위협 탐지 및 고급 방어를 Windows 및 Linux EC2 인스턴스로 확장합니다. 이 플랜에는 엔드포인트용 Microsoft Defender의 통합 라이선스, 보안 기준 및 OS 수준 평가, 취약성 평가 검사, AAC(적응형 애플리케이션 제어), FIM(파일 무결성 모니터링) 등이 포함됩니다.

AWS 계정을 클라우드용 Microsoft Defender에 연결에 대해 자세히 알아보세요.

데이터 민감도에 따라 보안 작업의 우선 순위 지정(Microsoft Purview 제공)(미리 보기)

데이터 리소스는 여전히 공격자의 대상으로 자주 설정됩니다. 따라서 보안 팀은 클라우드 환경에서 중요한 데이터 리소스를 식별하고 우선 순위를 지정하고 보호하는 것이 중요합니다.

To address this challenge, Microsoft Defender for Cloud now integrates sensitivity information from Microsoft Purview. Microsoft Purview는 다중 클라우드 및 온-프레미스 워크로드 내에서 데이터의 민감도에 대한 풍부한 인사이트를 제공하는 통합 데이터 거버넌스 서비스입니다.

Microsoft Purview와의 통합은 인프라 수준에서 데이터까지 클라우드용 Defender의 보안 표시 여부를 확장하여 보안 팀을 위한 리소스/보안 작업의 우선 순위를 지정하는 완전히 새로운 방법을 지원합니다.

데이터 민감도별로 보안 작업 우선 순위 지정에서 자세히 알아보세요.

Azure Security Benchmark v3을 사용한 확장된 보안 컨트롤 평가

클라우드용 Defender 보안 권장 사항은 Azure Security Benchmark에서 지원됩니다.

Azure 보안 벤치마크는 Microsoft에서 작성한, 일반적인 규정 준수 프레임워크를 기반으로 하는 보안 및 규정 준수 모범 사례에 대한 Azure 관련 지침 집합입니다. 널리 인정받는 이 벤치마크는 클라우드 중심 보안에 초점을 맞춘 CIS(Center for Internet Security) 및 NIST(National Institute of Standards and Technology)의 컨트롤을 기반으로 합니다.

From Ignite 2021, Azure Security Benchmark v3 is available in Defender for Cloud's regulatory compliance dashboard and enabled as the new default initiative for all Azure subscriptions protected with Microsoft Defender for Cloud.

v3의 향상된 기능은 다음과 같습니다.

Additional mappings to industry frameworks PCI-DSS v3.2.1 and CIS Controls v8.
다음을 도입하여 제어에 대한 보다 세분화되고 실행 가능한 지침:
- Security Principles - Providing insight into the overall security objectives that build the foundation for our recommendations.
- Azure Guidance - The technical "how-to" for meeting these objectives.
새로운 컨트롤에는 위협 모델링 및 소프트웨어 공급망 보안과 같은 문제에 대한 DevOps 보안과 Azure의 모범 사례를 위한 키 및 인증서 관리가 포함됩니다.

Azure Security Benchmark 소개에서 자세히 알아보세요.

GA(일반 공급)를 위해 릴리스된 Microsoft Sentinel 커넥터의 선택적 양방향 경고 동기화

In July, we announced a preview feature, bi-directional alert synchronization, for the built-in connector in Microsoft Sentinel (Microsoft's cloud-native SIEM and SOAR solution). 이 기능은 이제 GA(일반 공급)를 위해 릴리스되었습니다.

클라우드용 Microsoft Defender를 Microsoft Sentinel에 연결하면 보안 경고 상태가 두 서비스 간에 동기화됩니다. 따라서 예를 들어 클라우드용 Defender에서 경고가 닫히면 해당 경고는 Microsoft Sentinel에서도 닫힌 것으로 표시됩니다. Changing the status of an alert in Defender for Cloud won't affect the status of any Microsoft Sentinel incidents that contain the synchronized Microsoft Sentinel alert, only that of the synchronized alert itself.

양방향 경고 동기화를 사용하도록 설정하면 원래 클라우드용 Defender 경고의 상태를 해당 경고의 복사본이 포함된 Microsoft Sentinel 인시던트와 자동으로 동기화합니다. 따라서 예를 들어 클라우드용 Defender 경고가 포함된 Microsoft Sentinel 인시던트가 종료되면 클라우드용 Defender는 해당 원래 경고를 자동으로 닫습니다.

Azure Security Center 및 Stream 경고에서 Microsoft Sentinel로 Azure Defender 경고 연결에 대해 자세히 알아봅니다.

AKS(Azure Kubernetes Service) 로그를 Microsoft Sentinel에 푸시하는 새로운 권장 사항

클라우드용 Defender와 Microsoft Sentinel의 결합된 가치에 대한 추가 개선 사항에서 이제 Microsoft Sentinel에 로그 데이터를 보내지 않는 Azure Kubernetes Service 인스턴스를 강조합니다.

SecOps 팀은 권장 사항 세부 정보 페이지에서 직접 관련 Microsoft Sentinel 작업 영역을 선택하고 원시 로그 스트리밍을 즉시 사용하도록 설정할 수 있습니다. 두 제품 간의 원활한 연결을 통해 보안 팀은 전체 환경을 파악하기 위해 워크로드 전반에 걸쳐 완전한 로깅 적용 범위를 쉽게 보장할 수 있습니다.

새로운 권장 사항인 "Kubernetes Service의 진단 로그를 사용하도록 설정해야 함"에는 더 빠른 해결을 위한 "수정" 옵션이 포함됩니다.

또한 동일한 Microsoft Sentinel 스트리밍 기능을 사용하여 "SQL Server에 대한 감사를 사용하도록 설정해야 함" 권장 사항을 개선했습니다.

MITRE ATT&CK® 프레임워크에 매핑된 권장 사항 - GA(일반 공급)를 위해 릴리스됨

MITRE ATT&CK® 프레임워크에 대한 입장을 표시하기 위해 클라우드용 Defender 보안 권장 사항을 개선했습니다. 실제 관찰을 기반으로 하는 공격자의 전술 및 기술에 대한 전 세계적으로 액세스 가능한 기술 자료는 환경에 대한 권장 사항의 관련 위험을 이해할 수 있도록 하는 더 많은 컨텍스트를 제공합니다.

권장 정보에 액세스할 때마다 다음 전술을 찾을 수 있습니다.

관련 권장 사항에 대한 Azure Resource Graph 쿼리 결과에 는 MITRE ATT&CK® 전술 및 기술이 포함됩니다.
권장 사항 세부 정보 페이지에는 모든 관련 권장 사항에 대한 매핑이 표시됩니다.:
클라우드용 Defender의 권장 사항 페이지에는 관련 전술에 따라 권장 사항을 선택하는 새로운 필터가 있습니다:

보안 권장 사항 검토에서 자세히 알아보세요.

Microsoft 위협 및 취약성 관리가 취약성 평가 솔루션으로 추가됨 - GA(일반 공급)용으로 릴리스됨

In October, we announced an extension to the integration between Microsoft Defender for Servers and Microsoft Defender for Endpoint, to support a new vulnerability assessment provider for your machines: Microsoft threat and vulnerability management. 이 기능은 이제 GA(일반 공급)를 위해 릴리스되었습니다.

위협 및 취약성 관리를 사용하면 엔드포인트용 Microsoft Defender와의 통합이 사용하도록 설정된 상태에서 추가 에이전트나 정기 검사 없이 거의 실시간으로 취약성과 잘못된 구성을 발견할 수 있습니다. 위협 및 취약성 관리는 조직의 위협 환경 및 검색을 기반으로 취약성의 우선 순위를 지정합니다.

보안 권장 사항 "가상 머신에서 취약성 평가 솔루션을 사용하도록 설정해야 함"을 사용하여 지원되는 컴퓨터에 대한 위협 및 취약성 관리에서 검색된 취약성을 표시합니다.

수동으로 권장 사항을 수정할 필요 없이 기존 및 새 컴퓨터에서 취약성을 자동으로 표시하려면 취약성 평가 솔루션을 이제 자동으로 사용하도록 설정할 수 있음(미리 보기에서)을 참조하세요.

엔드포인트용 Microsoft Defender 위협 및 취약성 관리 사용하여 약점 조사에 대해 자세히 알아보세요.

Linux의 엔드포인트용 Microsoft Defender는 이제 서버용 Microsoft Defender에서 지원됨 - GA(일반 공급)용으로 릴리스됨

In August, we announced preview support for deploying the Defender for Endpoint for Linux sensor to supported Linux machines. 이 기능은 이제 GA(일반 공급)를 위해 릴리스되었습니다.

서버용 Microsoft Defender에는 엔드포인트용 Microsoft Defender에 대한 통합 라이선스가 포함되어 있습니다. 또한 포괄적인 EDR(엔드포인트 검색 및 응답) 기능을 제공합니다.

엔드포인트용 Defender는 위협을 감지하면 경고를 트리거합니다. 경고는 Defender for Cloud에 표시됩니다. Defender for Cloud에서 엔드포인트용 Defender 콘솔로 피벗하고 자세히 조사하여 공격 범위를 확인할 수도 있습니다.

Security Center의 통합 EDR 솔루션인 엔드포인트용 Microsoft Defender 사용하여 엔드포인트 보호에 대해 자세히 알아보세요.

권장 사항 및 보안 결과에 대한 스냅샷 내보내기(미리 보기)

클라우드용 Defender는 자세한 보안 경고 및 권장 사항을 생성합니다. 관련 내용은 포털에서 또는 프로그래밍 도구를 통해 볼 수 있습니다. 환경의 다른 모니터링 도구를 사용하여 추적하기 위해 이 정보의 일부 또는 전부를 내보내야 할 수도 있습니다.

Defender for Cloud's continuous export feature lets you fully customize what will be exported, and where it will go. 클라우드용 Microsoft Defender의 데이터 지속적으로 내보내기에서 자세히 알아보세요.

Even though the feature is called continuous, there's also an option to export weekly snapshots. 지금까지 이러한 주간 스냅샷은 보안 점수 및 규정 준수 데이터로 제한되었습니다. 권장 사항 및 보안 결과를 내보내는 기능을 추가했습니다.

GA(일반 공급)를 위해 릴리스된 취약성 평가 솔루션의 자동 프로비전

In October, we announced the addition of vulnerability assessment solutions to Defender for Cloud's autoprovisioning page. 이는 서버용 Azure Defender로 보호되는 구독의 Azure 가상 머신 및 Azure Arc 컴퓨터와 관련 있습니다. 이 기능은 이제 GA(일반 공급)를 위해 릴리스되었습니다.

엔드포인트용 Microsoft Defender와의 통합이 사용하도록 설정된 경우 클라우드용 Defender는 다음과 같은 취약성 평가 솔루션을 제공합니다.

(NEW) The Microsoft threat and vulnerability management module of Microsoft Defender for Endpoint (see the release note)
통합 Quals 에이전트

선택한 솔루션은 지원되는 컴퓨터에서 자동으로 사용하도록 설정됩니다.

컴퓨터에 대한 취약성 평가 자동 구성에서 자세히 알아보세요.

GA(일반 공급)를 위해 릴리스된 자산 인벤토리의 소프트웨어 인벤토리 필터

In October, we announced new filters for the asset inventory page to select machines running specific software - and even specify the versions of interest. 이 기능은 이제 GA(일반 공급)를 위해 릴리스되었습니다.

Azure Resource Graph Explorer에서 소프트웨어 인벤토리 데이터를 쿼리할 수 있습니다.

이러한 기능을 사용하려면 엔드포인트용 Microsoft Defender와의 통합을 사용하도록 설정해야 합니다.

Azure Resource Graph에 대한 샘플 Kusto 쿼리를 포함한 자세한 내용은 소프트웨어 인벤토리 액세스를 참조하세요.

기본 이니셔티브에 추가된 새 AKS 보안 정책

기본적으로 Kubernetes 워크로드가 안전한지 확인하기 위해 클라우드용 Defender에는 Kubernetes 허용 제어가 포함된 적용 옵션을 포함하여 Kubernetes 수준 정책 및 강화 권장 사항이 포함되어 있습니다.

이 프로젝트의 일부로 Kubernetes 클러스터에서 배포를 차단하기 위한 정책 및 권장 사항(기본적으로 사용하지 않도록 설정됨)을 추가했습니다. 정책은 기본 이니셔티브에 있지만 관련 미리 보기에 등록하는 조직에만 관련됩니다.

정책 및 권장 사항("Kubernetes 클러스터는 취약한 이미지의 배포를 차단해야 함")을 안전하게 무시할 수 있으며 환경에 영향을 미치지 않습니다.

미리 보기에 참여하려면 미리 보기 링의 멤버여야 합니다. If you're not already a member, submit a request here. 미리 보기가 시작되면 멤버에게 알림이 전송됩니다.

온-프레미스 컴퓨터의 인벤토리 표시는 리소스 이름에 대해 다른 템플릿을 적용합니다.

To improve the presentation of resources in the Asset inventory, we've removed the "source-computer-IP" element from the template for naming on-premises machines.

Previous format:machine-name_source-computer-id_VMUUID
이 업데이트에서 다음을 수행합니다. machine-name_VMUUID

October 2021

10월의 업데이트는 다음과 같습니다.

Microsoft 위협 및 취약성 관리가 취약성 평가 솔루션으로 추가됨(미리 보기)
취약성 평가 솔루션을 이제 자동으로 사용하도록 설정할 수 있습니다(미리 보기에서)
자산 인벤토리에 추가된 소프트웨어 인벤토리 필터(미리 보기)
일부 경고 형식의 접두사가 "ARM_"에서 "VM_"으로 변경됨
Kubernetes 클러스터의 보안 권장 사항 논리에 대한 변경 사항
이제 권장 사항 세부 정보 페이지에 관련 권장 사항이 표시됩니다.
Kubernetes용 Azure Defender에 대한 새로운 경고(미리 보기)

Microsoft 위협 및 취약성 관리가 취약성 평가 솔루션으로 추가됨(미리 보기)

서버용 Azure Defender와 엔드포인트용 Microsoft Defender 간의 통합을 확장하여 컴퓨터에 대한 새로운 취약성 평가 공급자인 Microsoft 위협 및 취약성 관리를 지원합니다.

엔드포인트용 Microsoft Defender 위협 및 취약성 관리 사용하여 약점 조사에 대해 자세히 알아보세요.

이제 취약성 평가 솔루션을 자동으로 사용하도록 설정할 수 있습니다(미리 보기에서).

Security Center의 자동 프로비전 페이지에는 이제 서버용 Azure Defender로 보호되는 구독에서 Azure 가상 머신 및 Azure Arc 머신에 대한 취약성 평가 솔루션을 자동으로 사용하도록 설정하는 옵션이 포함되어 있습니다.

엔드포인트용 Microsoft Defender와의 통합이 사용하도록 설정된 경우 클라우드용 Defender는 다음과 같은 취약성 평가 솔루션을 제공합니다.

(NEW) The Microsoft threat and vulnerability management module of Microsoft Defender for Endpoint (see the release note)
통합 Quals 에이전트

Azure Security Center에서 Microsoft 위협 및 취약성 관리 자동 프로비전 구성

선택한 솔루션은 지원되는 컴퓨터에서 자동으로 사용하도록 설정됩니다.

컴퓨터에 대한 취약성 평가 자동 구성에서 자세히 알아보세요.

자산 인벤토리에 추가된 소프트웨어 인벤토리 필터(미리 보기)

The asset inventory page now includes a filter to select machines running specific software - and even specify the versions of interest.

또한 Azure Resource Graph Explorer에서 소프트웨어 인벤토리 데이터를 쿼리할 수 있습니다.

이러한 새로운 기능을 사용하려면 엔드포인트용 Microsoft Defender와의 통합을 사용하도록 설정해야 합니다.

Azure Resource Graph에 대한 샘플 Kusto 쿼리를 포함한 자세한 내용은 소프트웨어 인벤토리 액세스를 참조하세요.

위협 및 취약성 솔루션을 사용하도록 설정한 경우 Security Center의 자산 인벤토리에서 설치된 소프트웨어별로 리소스를 선택하는 필터를 제공함

일부 경고 형식의 접두사가 "ARM_"에서 "VM_"으로 변경됨

2021년 7월에 Azure Defender for Resource Manager 경고의 논리적 재구성을 발표했습니다.

Defender 계획을 재구성하는 동안 Azure Defender for Resource Manager에서 서버용 Azure Defender로 경고를 이동했습니다.

이 업데이트를 통해 이 재할당과 일치하도록 이러한 경고의 접두사를 변경하고 다음 표와 같이 "ARM_"을 "VM_"으로 바꿨습니다.

Original name	이 변경에서
ARM_AmBroadFilesExclusion	VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution	VM_AmDisablementAndCodeExecution
ARM_AmDisablement	VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution	VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution	VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion	VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled	VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement	VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec	VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion	VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement	VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion	VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd	VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint	VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload	VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure	VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion	VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution	VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset	VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset	VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset	VM_VMAccessUnusualSSHReset

Azure Defender for Resource Manager 및 서버용 Azure Defender 계획에 대해 자세히 알아봅니다.

Kubernetes 클러스터에 대한 보안 권장 사항의 논리 변경

"Kubernetes 클러스터는 기본 네임스페이스를 사용하지 않아야 함" 권장 사항은 리소스 종류 범위에 대한 기본 네임스페이스 사용을 방지합니다. 이 권장 사항에 포함된 두 가지 종류의 리소스인 ConfigMap 및 Secret이 제거되었습니다.

Kubernetes 클러스터에 대한 Azure Policy 이해에서 이 권장 사항과 Kubernetes 클러스터 강화에 대해 자세히 알아보세요.

To clarify the relationships between different recommendations, we've added a Related recommendations area to the details pages of many recommendations.

이 페이지에 표시되는 세 가지 관계 형식은 다음과 같습니다.

Prerequisite - A recommendation that must be completed before the selected recommendation
Alternative - A different recommendation which provides another way of achieving the goals of the selected recommendation
Dependent - A recommendation for which the selected recommendation is a prerequisite

각 관련 권장 사항에 대해 비정상 리소스의 수가 영향을 받는 리소스 열에 표시됩니다.

Tip

관련 권장 사항이 회색으로 표시되면 해당 종속성이 아직 완료되지 않았으므로 사용할 수 없습니다.

Kubernetes용 Azure Defender에 대한 새로운 경고(미리 보기)

Kubernetes용 Azure Defender에서 제공하는 위협 방지를 확장하기 위해 두 가지 미리 보기 경고를 추가했습니다.

이러한 경고는 새로운 기계 학습 모델 및 Kubernetes 고급 분석을 기반으로 생성되며, Azure Defender에서 모니터링하는 모든 클러스터와 클러스터의 이전 작업에 대해 여러 배포 및 역할 할당 특성을 측정합니다.

경고(경고 유형)	Description	MITRE tactic	Severity
변칙적인 Pod 배포(미리 보기) (K8S_AnomalousPodDeployment)	Kubernetes 감사 로그 분석에서 이전 Pod 배포 활동을 기반으로 비정상적인 Pod 배포를 검색했습니다. 이 작업은 배포 작업에서 볼 수 있는 다양한 기능이 서로 어떻게 관련되어 있는지 고려할 때 비정상적인 것으로 간주됩니다. 이 분석에 의해 모니터링되는 기능에는 사용된 컨테이너 이미지 레지스트리, 배포를 수행하는 계정, 요일, 이 계정이 Pod 배포를 수행하는 빈도, 작업에 사용된 사용자 에이전트, Pod 배포가 발생하는 네임스페이스인지 여부 및 다른 기능이 포함됩니다. 이 경고를 비정상적인 작업으로 발생시키는 가장 큰 원인은 경고 확장 속성에 자세히 설명되어 있습니다.	Execution	Medium
Kubernetes 클러스터에 할당된 과도한 역할 권한(미리 보기) (K8S_ServiceAcountPermissionAnomaly)	Kubernetes 감사 로그 분석에서 클러스터에 대한 과도한 권한 역할 할당이 발견되었습니다. 역할 할당 검사에서 나열된 권한은 특정 서비스 계정에 일반적이지 않습니다. 이 검색은 Azure에서 모니터링하는 클러스터에서 동일한 서비스 계정에 대한 이전 역할 할당, 권한당 볼륨 및 특정 권한의 영향을 고려합니다. 이 경고에 사용되는 변칙 검색 모델은 Azure Defender에서 모니터링하는 모든 클러스터에서 이 권한이 사용되는 방식을 고려합니다.	Privilege Escalation	Low

Kubernetes 경고의 전체 목록은 Kubernetes 클러스터에 대한 경고를 참조하세요.

September 2021

9월에 다음 업데이트가 릴리스되었습니다.

Azure 보안 기준 준수를 위해 OS 구성을 감사하기 위한 두 가지 새로운 권장 사항(미리 보기)

컴퓨터가 Windows 보안 기준 및 Linux 보안 기준을 준수하는지 평가하기 위해 다음 두 가지 권장 사항이 발표되었습니다.

Windows 컴퓨터의 경우 Windows 컴퓨터의 보안 구성 취약성을 수정해야 함(게스트 구성으로 구동)
Linux 컴퓨터의 경우 Linux 컴퓨터의 보안 구성 취약성을 수정해야 함(게스트 구성으로 구동)

이러한 권장 사항은 Azure Policy의 게스트 구성 기능을 사용하여 컴퓨터의 OS 구성을 Azure Security Benchmark에 정의된 기준과 비교합니다.

게스트 구성을 사용하여 컴퓨터의 OS 구성 강화에서 이러한 권장 사항을 사용하는 방법에 대해 자세히 알아보세요.

August 2021

8월의 업데이트는 다음과 같습니다.

이제 Azure Defender for Servers에서 Linux에 대한 엔드포인트용 Microsoft Defender 지원(미리 보기)
엔드포인트 보호 솔루션을 관리하기 위한 두 가지 새로운 권장 사항(미리 보기)
일반적인 문제를 해결하기 위한 기본 제공 문제 해결 및 지침
GA(일반 공급)를 위해 릴리스된 규정 준수 대시보드의 Azure 감사 보고서
'머신에서 Log Analytics 에이전트 상태 문제를 해결해야 함' 권장 사항이 사용 중단됨
컨테이너 레지스트리용 Azure Defender는 이제 Azure Private Link로 보호되는 레지스트리의 취약성을 검색합니다.
Security Center는 이제 Azure Policy의 게스트 구성 확장을 자동 프로비전할 수 있습니다(미리 보기).
권장 사항은 이제 "적용"을 지원합니다.
권장 사항 데이터의 CSV 내보내기가 이제 20MB로 제한됨
이제 권장 사항 페이지에 여러 보기가 포함됩니다.

이제 Azure Defender for Servers에서 Linux에 대한 엔드포인트용 Microsoft Defender 지원(미리 보기)

Azure Defender for Servers에는 엔드포인트용 Microsoft Defender와의 통합 라이선스가 포함되어 있습니다. 또한 포괄적인 EDR(엔드포인트 검색 및 응답) 기능을 제공합니다.

엔드포인트용 Defender는 위협을 감지하면 경고를 트리거합니다. 경고는 Security Center에 표시됩니다. Security Center에서 엔드포인트용 Defender 콘솔로 피벗하고 자세한 조사를 수행하여 공격 범위를 파악할 수도 있습니다.

미리 보기 기간 동안 Windows 머신에 이미 배포 했는지 여부에 따라 두 가지 방법 중 하나로 지원되는 Linux 머신에 Linux 용 엔드포인트용 Defender 센서를 배포합니다.

클라우드용 Defender의 강화된 보안 기능이 사용하도록 설정되어 있고 Windows용 엔드포인트용 Microsoft Defender가 있는 기존 사용자
Windows용 엔드포인트용 Microsoft Defender 통합을 사용하도록 설정한 적이 없는 새 사용자

Security Center의 통합 EDR 솔루션인 엔드포인트용 Microsoft Defender 사용하여 엔드포인트 보호에 대해 자세히 알아보세요.

엔드포인트 보호 솔루션을 관리하기 위한 두 가지 새로운 권장 사항(미리 보기)

We've added two preview recommendations to deploy and maintain the endpoint protection solutions on your machines. 두 권장 사항에는 Virtual Machines 및 Azure Arc를 사용하도록 설정된 서버에 연결된 머신에 대한 지원이 포함됩니다.

Recommendation	Description	Severity
머신에 Endpoint Protection을 설치해야 함	위협 및 취약성으로부터 머신을 보호하려면 지원되는 엔드포인트 보호 솔루션을 설치합니다. 머신에 대한 Endpoint Protection을 평가하는 방법에 대해 자세히 알아봅니다. (관련 정책: Azure Security Center에서 누락된 Endpoint Protection 모니터링)	High
머신에서 엔드포인트 보호 상태 문제를 해결해야 함	가상 머신의 엔드포인트 보호 상태 문제를 해결하여 최신 위협 및 취약성으로부터 보호합니다. Azure Security Center supported endpoint protection solutions are documented here. Endpoint protection assessment is documented here. (관련 정책: Azure Security Center에서 누락된 Endpoint Protection 모니터링)	Medium

Note

권장 사항은 새로 고침 간격을 8시간으로 표시하지만 이 시간이 훨씬 더 오래 걸릴 수 있는 몇 가지 시나리오가 있습니다. 예를 들어 온-프레미스 컴퓨터가 삭제되면 Security Center에서 삭제를 식별하는 데 24시간이 걸립니다. 그 후에는 정보를 반환하는 데 최대 8시간이 소요됩니다. 따라서 이러한 특정 상황에서는 영향을 받는 리소스 목록에서 컴퓨터를 제거하는 데 32시간이 걸릴 수 있습니다.

이러한 두 가지 새로운 Security Center 권장 사항에 대한 새로 고침 간격 표시기

일반적인 문제를 해결하기 위한 기본 제공 문제 해결 및 지침

Azure Portal에 있는 Security Center 페이지의 새로운 전용 영역은 Security Center 및 Azure Defender와 관련된 일반적인 문제를 해결하기 위한 자가 진단 자료 집합을 계속 수집하여 제공합니다.

문제가 발생하거나 지원 팀의 조언을 구하는 경우 문제 진단 및 해결은 솔루션을 찾는 데 도움이 되는 또 다른 도구입니다.

Security Center의 '문제 진단 및 해결' 페이지

GA(일반 공급)를 위해 릴리스된 규정 준수 대시보드의 Azure 감사 보고서

규정 준수 대시보드의 도구 모음은 구독에 적용되는 표준에 대한 Azure 및 Dynamics 인증 보고서를 제공합니다.

감사 보고서를 생성하기 위한 단추를 보여 주는 규정 준수 대시보드의 도구 모음입니다.

관련 보고서 유형(PCI, SOC, ISO 등)에 대한 탭을 선택하고 필터를 사용하여 필요한 특정 보고서를 찾을 수 있습니다.

자세한 내용은 준수 상태 보고서 및 인증서 생성을 참조 하세요.

사용 가능한 Azure 감사 보고서의 탭 목록입니다. ISO 보고서, SOC 보고서, PCI 등에 대한 탭이 표시됩니다.

'머신에서 Log Analytics 에이전트 상태 문제를 해결해야 함' 권장 사항이 사용 중단됨

권장 사항 Log Analytics 에이전트 상태 문제는 Security Center의 CSPM(클라우드 보안 상태 관리) 포커스와 일치하지 않는 방식으로 보안 점수에 영향을 주는 컴퓨터 에서 해결되어야 합니다. 일반적으로 CSPM은 잘못된 보안 구성을 식별하는 것과 관련이 있습니다. 에이전트 상태 문제는 이 문제 범주에 맞지 않습니다.

또한 Security Center와 관련된 다른 에이전트와 비교할 때 권장 사항은 변칙입니다. 이는 상태 문제와 관련된 권장 사항이 있는 유일한 에이전트입니다.

권장 사항은 더 이상 사용되지 않습니다.

이 사용 중단으로 인해 Log Analytics 에이전트를 설치하기 위한 권장 사항도 약간 변경했습니다(Log Analytics 에이전트를 설치해야 합니다...).

이 변경 내용이 보안 점수에 영향을 줄 수 있습니다. 대부분의 구독에서는 변경으로 인해 점수가 증가할 것으로 예상하지만, 설치 권장 사항을 업데이트하면 경우에 따라 점수가 감소할 수 있습니다.

Tip

The asset inventory page was also affected by this change as it displays the monitored status for machines (monitored, not monitored, or partially monitored - a state which refers to an agent with health issues).

컨테이너 레지스트리에 대한 Azure Defender는 이제 Azure Private Link 보호되는 레지스트리의 취약성을 검색합니다

컨테이너 레지스트리용 Azure Defender에는 Azure Container Registry의 이미지를 검사하는 취약성 스캐너가 포함되어 있습니다. Azure Defender for Container Registries에서 레지스트리를 검사하고 결과를 수정하여 이미지를 검사하여 취약성을 검사하는 방법을 알아봅니다.

Azure Container Registry에서 호스팅되는 레지스트리에 대한 액세스를 제한하려면 레지스트리 엔드포인트에 가상 네트워크 개인 IP 주소를 할당하고 Azure Private Link 를 사용하여 Azure 컨테이너 레지스트리에 비공개로 연결에서 설명한 대로 Azure Private Link를 사용합니다.

추가 환경 및 사용 사례를 지원하기 위한 지속적인 노력의 일환으로 Azure Defender는 이제 Azure Private Link로 보호되는 컨테이너 레지스트리도 검색합니다.

Security Center는 이제 Azure Policy의 게스트 구성 확장을 자동 프로비전할 수 있습니다(미리 보기).

Azure Policy는 Azure 및 Arc 연결된 컴퓨터에서 실행되는 컴퓨터 모두에 대해 컴퓨터 내의 설정을 감사할 수 있습니다. 게스트 구성 확장 및 클라이언트가 유효성 검사를 수행합니다. Azure Policy의 게스트 구성 이해에 대해 자세히 알아보세요.

이 업데이트를 사용하면 지원되는 모든 컴퓨터에 이 확장을 자동으로 프로비저닝하도록 Security Center를 설정할 수 있습니다.

게스트 구성 확장의 자동 배포를 사용하도록 설정합니다.

에이전트 및 확장에 대한 자동 프로비전 구성에서 자동 프로비전이 작동하는 방식에 대해 자세히 알아봅니다.

이제 권장 사항에서 "적용"을 지원합니다.

Security Center includes two features that help ensure newly created resources are provisioned in a secure manner: enforce and deny. 권장 사항에서 이러한 옵션을 제공하는 경우 누군가가 리소스를 만들려고 할 때마다 보안 요구 사항이 충족되는지 확인할 수 있습니다.

Deny stops unhealthy resources from being created
Enforce automatically remediates non-compliant resources when they're created

이 업데이트를 사용하면 Azure Defender 계획을 사용하도록 설정하는 권장 사항에서 적용 옵션을 사용할 수 있습니다(예: Azure Defender for App Service를 사용하도록 설정해야 하고, Key Vault용 Azure Defender를 사용하도록 설정해야 하며, 스토리지용 Azure Defender를 사용하도록 설정해야 함).

적용/거부 권장 사항을 사용하여 잘못된 구성 방지에서 이러한 옵션에 대해 자세히 알아봅니다.

권장 사항 데이터의 CSV 내보내기가 이제 20MB로 제한됨

Security Center 권장 사항 데이터를 내보낼 때 20MB의 제한을 도입하고 있습니다.

권장 사항 데이터를 내보내는 Security Center의 'CSV 보고서 다운로드' 단추입니다.

더 많은 양의 데이터를 내보내야 하는 경우 선택하기 전에 사용 가능한 필터를 사용하거나 구독의 하위 집합을 선택하고 일괄 처리로 데이터를 다운로드합니다.

Azure Portal에서 구독 필터링

보안 권장 사항의 CSV 내보내기를 수행하는 방법에 대해 자세히 알아봅니다.

이제 권장 사항 페이지에 여러 보기가 포함됩니다.

이제 권장 사항 페이지에는 리소스와 관련된 권장 사항을 볼 수 있는 다른 방법을 제공하는 두 개의 탭이 있습니다.

보안 점수 권장 사항 - 이 탭을 사용하여 보안 제어로 그룹화된 권장 사항 목록을 볼 수 있습니다. 보안 컨트롤 및 권장 사항에서 이러한 컨트롤에 대해 자세히 알아봅니다.
All recommendations - Use this tab to view the list of recommendations as a flat list. 이 탭은 권장 사항을 생성한 이니셔티브(규정 준수 표준 포함)를 이해하는 데에도 적합합니다. 보안 정책, 이니셔티브 및 권장 사항이란?에서 이니셔티브 및 권장 사항과의 관계에 대해 자세히 알아봅니다.

Azure Security Center의 권장 사항 목록 보기를 변경하는 탭입니다.

July 2021

7월 업데이트는 다음과 같습니다.

Microsoft Sentinel 커넥터에는 이제 선택적 양방향 경고 동기화(미리 보기)가 포함됩니다.
Resource Manager용 Azure Defender 경고의 논리적 재구성
ADE(Azure Disk Encryption)를 사용하도록 설정하기 위한 권장 사항 향상
GA(일반 공급)를 위해 릴리스된 보안 점수 및 규정 준수 데이터의 연속 내보내기
규정 준수 평가 변경 사항으로 워크플로 자동화가 트리거될 수 있습니다(GA)
이제 작업 영역 스키마 및 논리 앱에서 평가 API 필드 'FirstEvaluationDate' 및 'StatusChangeDate'를 사용할 수 있습니다.
Azure Monitor 통합 문서 갤러리에 추가된 '시간에 따른 규정 준수' 통합 문서 템플릿

Microsoft Sentinel 커넥터에는 이제 선택적 양방향 경고 동기화(미리 보기)가 포함됩니다.

Security Center natively integrates with Microsoft Sentinel, Azure's cloud-native SIEM and SOAR solution.

Microsoft Sentinel에는 구독 및 테넌트 수준에서 Azure Security Center용 기본 제공 커넥터가 포함되어 있습니다. Microsoft Sentinel에 대한 Stream 경고에 대해 자세히 알아보세요.

Azure Defender를 Microsoft Sentinel에 연결하면 Microsoft Sentinel에 수집되는 Azure Defender 경고의 상태가 두 서비스 간에 동기화됩니다. 예를 들어 Azure Defender에서 경고가 닫힐 때 해당 경고는 Microsoft Sentinel에서도 닫힌 것으로 표시됩니다. Changing the status of an alert in Azure Defender "won't"* affect the status of any Microsoft Sentinel incidents that contain the synchronized Microsoft Sentinel alert, only that of the synchronized alert itself.

미리 보기 기능 양방향 경고 동기화를 사용하도록 설정하면 원래 Azure Defender 경고의 상태를 해당 Azure Defender 경고의 복사본이 포함된 Microsoft Sentinel 인시던트와 자동으로 동기화합니다. 예를 들어 Azure Defender 경고가 포함된 Microsoft Sentinel 인시던트가 닫히면 Azure Defender는 해당 원래 경고를 자동으로 닫습니다.

자세한 내용은 Azure Security Center에서 Azure Defender 경고 연결을 참조하세요.

Resource Manager 경고에 대한 Azure Defender의 논리적 재구성

아래에 나열된 경고는 Azure Defender for Resource Manager 플랜의 일부로 제공됩니다.

일부 Azure Defender 플랜에 대한 논리적 재구성의 일환으로 Azure Defender for Resource Manager에서 서버용 Azure Defender로 일부 경고를 이동하고 있습니다.

경고는 다음 두 가지 주요 원칙에 따라 구성됩니다.

여러 Azure 리소스 유형에서 제어 평면 보호를 제공하는 경고는 Azure Defender for Resource Manager의 일부입니다.
특정 워크로드를 보호하는 경고는 해당 워크로드와 관련된 Azure Defender 계획에 있습니다.

이러한 경고는 Azure Defender for Resource Manager에 속하며, 이러한 변경의 결과로 서버용 Azure Defender로 이동됩니다.

ARM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution
ARM_AmDisablement
ARM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset

Azure Defender for Resource Manager 및 서버용 Azure Defender 계획에 대해 자세히 알아봅니다.

ADE(Azure Disk Encryption)를 사용하도록 권장 사항 향상

사용자 피드백에 따라 가상 머신에 디스크 암호화를 적용해야 한다는 권장 사항의 이름을 변경했습니다.

새 권장 사항은 동일한 평가 ID를 사용하며 가상 머신은 Compute 및 Storage 리소스 간의 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 한다고 합니다.

또한 이 강화 권장 사항의 목적을 더 잘 설명하기 위해 설명이 업데이트되었습니다.

Recommendation	Description	Severity
가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함	기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 암호화되어 있습니다. 임시 디스크 및 데이터 캐시는 암호화되지 않으며 컴퓨팅 리소스와 스토리지 리소스 간에 흐르는 경우 데이터가 암호화되지 않습니다. 자세한 내용은 Azure의 다양한 디스크 암호화 기술 비교 비교를 참조하세요. Azure Disk Encryption을 사용하여 이 모든 데이터를 암호화합니다. (1) 호스트에서 암호화 기능을 사용하거나 (2) Managed Disks의 서버 쪽 암호화가 보안 요구 사항을 충족하는 경우 이 권장 사항을 무시합니다. Azure Disk Storage의 서버 쪽 암호화에서 자세히 알아봅니다.	High

GA(일반 공급)를 위해 릴리스된 보안 점수 및 규정 준수 데이터의 연속 내보내기

Continuous export provides the mechanism for exporting your security alerts and recommendations for tracking with other monitoring tools in your environment.

연속 내보내기를 설정할 때 내보내는 항목과 내보내기 위치를 구성합니다. 연속 내보내기 개요에 대해 자세히 알아봅니다.

이 기능은 시간이 지남에 따라 향상되고 확장되었습니다.

In November 2020, we added the preview option to stream changes to your secure score.
In December 2020, we added the preview option to stream changes to your regulatory compliance assessment data.

이 업데이트를 사용하면 이러한 두 가지 옵션이 GA(일반 공급)를 위해 릴리스됩니다.

규정 준수 평가 변경 사항으로 워크플로 자동화가 트리거될 수 있습니다(GA)

In February 2021, we added a preview third data type to the trigger options for your workflow automations: changes to regulatory compliance assessments. 규정 준수 평가 변경으로 워크플로 자동화에 대해 자세히 알아볼 수 있습니다.

이 업데이트를 사용하면 GA(일반 공급)를 위해 이 트리거 옵션이 릴리스됩니다.

Security Center 트리거에 대한 자동 응답에서 워크플로 자동화 도구를 사용하는 방법을 알아봅니다.

이제 작업 영역 스키마 및 논리 앱에서 평가 API 필드 'FirstEvaluationDate' 및 'StatusChangeDate'를 사용할 수 있습니다.

In May 2021, we updated the Assessment API with two new fields, FirstEvaluationDate and StatusChangeDate. 자세한 내용은 두 개의 새 필드로 확장된 평가 API를 참조 하세요.

이러한 필드는 REST API, Azure Resource Graph, 연속 내보내기 및 CSV 내보내기를 통해 액세스할 수 있었습니다.

이 변경으로 Log Analytics 작업 영역 스키마 및 논리 앱에서 정보를 사용할 수 있게 되었습니다.

Azure Monitor 통합 문서 갤러리에 추가된 '시간에 따른 규정 준수' 통합 문서 템플릿

3월에는 Security Center 통합 Azure Monitor 통합 문서 환경을 발표했습니다(Security Center에 통합된 Azure Monitor 통합 문서 및 제공된 템플릿 3개 참조).

초기 릴리스에는 조직의 보안 태세에 대한 동적 및 시각적 보고서를 작성하는 세 가지 템플릿이 포함되어 있습니다.

이제 구독이 적용되는 규정 또는 업계 표준을 준수하는지 추적하기 위한 통합 문서가 추가되었습니다.

Security Center 데이터의 풍부한 대화형 보고서 만들기에서 이러한 보고서를 사용하거나 직접 빌드하는 방법을 알아봅니다.

Azure Security Center의 시간별 규정 준수 통합 문서

June 2021

6월 업데이트는 다음과 같습니다.

Key Vault용 Azure Defender에 대한 새 경고
기본적으로 사용하지 않도록 설정된 CMK(고객 관리형 키)로 암호화하기 위한 권장 사항
Kubernetes 경고의 접두사는 "AKS_"에서 "K8S_"로 변경되었습니다.
"시스템 업데이트 적용" 보안 제어의 두 가지 권장 사항이 더 이상 사용되지 않음

Key Vault용 Azure Defender에 대한 새 경고

Azure Defender for Key Vault에서 제공하는 위협 보호를 확장하기 위해 다음 경고를 추가했습니다.

경고(경고 유형)	Description	MITRE tactic	Severity
의심스러운 IP 주소에서 Key Vault에 액세스 (KV_SuspiciousIPAccess)	Microsoft 위협 인텔리전스에서 의심스러운 IP 주소로 식별된 IP를 통해 Key Vault에 액세스했습니다. 인프라가 손상되었음을 나타낼 수 있습니다. 추가 조사를 권장합니다.	Credential Access	Medium

자세한 내용은 다음을 참조하세요.

기본적으로 사용하지 않도록 설정된 CMK(고객 관리형 키)로 암호화하기 위한 권장 사항

Security Center에는 다음과 같은 고객 관리형 키를 사용하여 미사용 데이터를 암호화하는 여러 권장 사항이 포함되어 있습니다.

컨테이너 레지스트리는 CMK(고객 관리형 키)로 암호화해야 함
Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
Azure Machine Learning 작업 영역은 CMK(고객 관리형 키)로 암호화해야 합니다.

Azure의 데이터는 플랫폼 관리형 키를 사용하여 자동으로 암호화되므로 고객 관리형 키는 조직에서 적용하도록 선택한 특정 정책을 준수하는 데 필요한 경우에만 사용해야 합니다.

이 변경으로 CMK를 사용하는 권장 사항은 기본적으로 사용하지 않도록 설정됩니다. When relevant for your organization, you can enable them by changing the Effect parameter for the corresponding security policy to AuditIfNotExists or Enforce. 보안 권장 사항 사용에서 자세히 알아보세요.

이 변경 내용은 다음 예제와 같이 새 접두 사 [필요한 경우 사용]을 사용하여 권장 사항의 이름에 반영됩니다.

[필요한 경우 사용] 스토리지 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다.
[필요한 경우 사용] 컨테이너 레지스트리는 CMK(고객 관리형 키)를 사용하여 암호화해야 합니다.
[필요한 경우 사용] Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다.

Kubernetes 경고의 접두사가 "AKS_"에서 "K8S_"로 변경됨

Azure Defender for Kubernetes는 최근에 확장되어 온-프레미스 및 다중 클라우드 환경에서 호스트되는 Kubernetes 클러스터를 보호합니다. Azure Defender for Kubernetes를 사용하여 하이브리드 및 다중 클라우드 Kubernetes 배포 보호(미리 보기)에서 자세히 알아봅니다.

Azure Defender for Kubernetes에서 제공하는 보안 경고가 더 이상 Azure Kubernetes Service의 클러스터로 제한되지 않는다는 사실을 반영하기 위해 경고 유형의 접두사를 "AKS_"에서 "K8S_"로 변경했습니다. 필요한 경우 이름과 설명도 업데이트되었습니다. 예를 들면 다음과 같습니다.

경고(경고 유형)	Description
Kubernetes 침투 테스트 도구가 검색됨 (AKS_PenTestToolsKubeHunter)	Kubernetes audit log analysis detected usage of Kubernetes penetration testing tool in the AKS cluster. 이 동작은 합법적일 수 있지만, 공격자가 이러한 공용 도구를 악의적인 목적으로 사용할 수 있습니다.

이 경고로 변경되었습니다.

경고(경고 유형)	Description
Kubernetes 침투 테스트 도구가 검색됨 (K8S_PenTestToolsKubeHunter)	Kubernetes audit log analysis detected usage of Kubernetes penetration testing tool in the Kubernetes cluster. 이 동작은 합법적일 수 있지만, 공격자가 이러한 공용 도구를 악의적인 목적으로 사용할 수 있습니다.

"AKS_"로 시작하는 경고를 참조하는 모든 표시 안 함 규칙이 자동으로 변환되었습니다. SIEM 내보내기 또는 경고 유형별로 Kubernetes 경고를 참조하는 사용자 지정 자동화 스크립트를 설정한 경우 새 경고 유형으로 업데이트해야 합니다.

Kubernetes 경고의 전체 목록은 Kubernetes 클러스터에 대한 경고를 참조하세요.

"시스템 업데이트 적용" 보안 제어의 두 가지 권장 사항이 더 이상 사용되지 않음

다음 두 가지 권장 사항은 더 이상 사용되지 않습니다.

클라우드 서비스 역할에 대해 OS 버전을 업데이트해야 합니다. 기본적으로 Azure는 Windows Server 2016과 같은 서비스 구성(.cscfg)에서 지정한 OS 제품군 내에서 게스트 OS를 지원되는 최신 이미지로 주기적으로 업데이트합니다.
Kubernetes 서비스를 취약하지 않은 Kubernetes 버전으로 업그레이드해야 함 - 이 권장 사항의 평가는 원하는 만큼 광범위하지 않습니다. 권장 사항을 보안 요구 사항에 더 잘 맞는 향상된 버전으로 바꿀 계획입니다.

May 2021

5월 업데이트는 다음과 같습니다.

DNS 및 Resource Manager용 Azure Defender가 GA(일반 공급)용으로 출시
GA(일반 공급)를 위해 릴리스된 오픈 소스 관계형 데이터베이스용 Azure Defender
Resource Manager용 Azure Defender의 새 경고
GitHub 워크플로 및 Azure Defender를 사용하여 컨테이너 이미지의 CI/CD 취약성 검사(미리 보기)
일부 권장 사항에 사용할 수 있는 추가 Resource Graph 쿼리
SQL 데이터 분류 권장 사항 심각도가 변경됨
신뢰할 수 있는 시작 기능을 사용하도록 설정하는 새로운 권장 사항(미리 보기)
Kubernetes 클러스터 강화를 위한 새로운 권장 사항(미리 보기)
두 개의 새 필드로 확장된 평가 API
자산 인벤토리가 클라우드 환경 필터를 가져옵니다.

DNS 및 Resource Manager용 Azure Defender가 GA(일반 공급)용으로 출시

이 두 클라우드 네이티브 폭 위협 방지 계획은 이제 GA입니다.

이러한 새로운 보호는 위협 행위자의 공격에 대한 복원력을 크게 향상시키고 Azure Defender로 보호되는 Azure 리소스의 수를 크게 증가시킵니다.

Azure Defender for Resource Manager - 조직에서 수행되는 모든 리소스 관리 작업을 자동으로 모니터링합니다. 자세한 내용은 다음을 참조하세요.
DNS 용 Azure Defender - Azure 리소스의 모든 DNS 쿼리를 지속적으로 모니터링합니다. 자세한 내용은 다음을 참조하세요.

이러한 계획을 사용하도록 설정하는 프로세스를 간소화하려면 권장 사항을 사용합니다.

Azure Defender for Resource Manager를 사용하도록 설정해야 함
Azure Defender for DNS를 사용하도록 설정해야 함

Note

Azure Defender 계획을 사용하도록 설정하면 요금이 발생합니다. Learn about the pricing details per region on Security Center's pricing page.

GA(일반 공급)를 위해 릴리스된 오픈 소스 관계형 데이터베이스용 Azure Defender

Azure Security Center에서 오픈 소스 관계형 데이터베이스를 포괄하는 새 번들로 SQL 보호에 대한 제안을 확장합니다.

Azure SQL 데이터베이스 서버 용 Azure Defender - Azure 네이티브 SQL Server 방어
컴퓨터 의 SQL 서버용 Azure Defender - 하이브리드, 다중 클라우드 및 온-프레미스 환경에서 동일한 보호를 SQL 서버로 확장합니다.
오픈 소스 관계형 데이터베이스 용 Azure Defender - Azure Databases for MySQL, PostgreSQL 및 MariaDB 단일 서버를 방어합니다.

오픈 소스 관계형 데이터베이스용 Azure Defender는 보안 위협에 대한 서버를 지속적으로 모니터링하고 Azure Database for MySQL, PostgreSQL 및 MariaDB에 대한 잠재적 위협을 나타내는 비정상적인 데이터베이스 활동을 검색합니다. 다음은 몇 가지 예입니다.

무차별 암호 대입 공격 탐지 - 오픈 소스 관계형 데이터베이스용 Azure Defender는 성공적으로 시도된 무차별 암호 대입 공격에 대한 자세한 정보를 제공합니다. 이를 통해 사용자 환경에 대한 공격의 특성과 상태를 보다 완벽하게 이해하고 조사하고 대응할 수 있습니다.
동작 경고 검색 - 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 대한 액세스 패턴의 변경과 같이 서버에서 의심스럽고 예기치 않은 동작을 경고합니다.
위협 인텔리전스 기반 검색 - Azure Defender는 Microsoft의 위협 인텔리전스 및 방대한 기술 자료 노출 위협 경고에 적용하여 이에 대응할 수 있습니다.

오픈 소스 관계형 데이터베이스용 Azure Defender 소개에서 자세히 알아보세요.

Resource Manager용 Azure Defender의 새 경고

Azure Defender for Resource Manager에서 제공하는 위협 방지를 확장하기 위해 다음 경고를 추가했습니다.

경고(경고 유형)	Description	MITRE tactics	Severity
Azure 환경에 대해 비정상적인 방식으로 RBAC 역할에 부여된 권한(미리 보기) (ARM_AnomalousRBACRoleAssignment)	Resource Manager용 Azure Defender가 할당 시간, 할당자 위치, 할당자, 인증 방법, 할당된 엔터티, 사용되는 클라이언트 소프트웨어, 할당 익스텐트 등의 변칙으로 인해 테넌트의 동일한 담당자에 대해 동일한 할당자가 수행한 다른 할당과 비교할 때 일반적이지 않은 RBAC 역할 할당을 감지했습니다. 조직의 합법적인 사용자가 이 작업을 수행했을 수 있습니다. 또는 조직의 계정이 위반되었으며 위협 행위자가 소유한 추가 사용자 계정에 사용 권한을 부여하려고 시도하고 있음을 나타낼 수 있습니다.	수평 이동, 방어 우회	Medium
의심스러운 방식으로 구독에 대해 생성된 권한 있는 사용자 지정 역할(미리 보기) (ARM_PrivilegedRoleDefinitionCreation)	Azure Defender for Resource Manager가 구독에서 권한 있는 사용자 지정 역할 정의의 의심스러운 생성을 감지했습니다. 조직의 합법적인 사용자가 이 작업을 수행했을 수 있습니다. 또는 조직의 계정이 위반되었으며 위협 행위자가 향후 탐지를 회피하는 데 사용할 권한 있는 역할을 만들려고 시도 중임을 나타낼 수 있습니다.	수평 이동, 방어 우회	Low
의심스러운 IP 주소의 Azure Resource Manager 작업 (ARM_OperationFromSuspiciousIP)	Azure Defender for Resource Manager는 위협 인텔리전스 피드에서 의심스러운 것으로 표시된 IP 주소에서 작업을 검색했습니다.	Execution	Medium
의심스러운 프록시 IP 주소의 Azure Resource Manager 작업(미리 보기) (ARM_OperationFromSuspiciousProxyIP)	Azure Defender for Resource Manager는 TOR과 같은 프록시 서비스와 연결된 IP 주소에서 리소스 관리 작업을 검색했습니다. 이 동작은 합법적일 수 있지만 위협 행위자가 원본 IP를 숨기려고 할 때 악의적인 활동에서 자주 볼 수 있습니다.	Defense Evasion	Medium

자세한 내용은 다음을 참조하세요.

GitHub 워크플로 및 Azure Defender를 사용하여 컨테이너 이미지의 CI/CD 취약성 검사(미리 보기)

이제 DevSecOps 팀은 컨테이너 레지스트리용 Azure Defender를 사용하여 GitHub Action 워크플로를 관찰할 수 있습니다.

The new vulnerability scanning feature for container images, utilizing Trivy, helps you to scan for common vulnerabilities in their container images before pushing images to container registries.

컨테이너 검사 보고서는 Azure Security Center에 요약되어 보안 팀이 취약한 컨테이너 이미지의 원본과 워크플로 및 리포지토리의 출처에 대한 이해를 향상할 수 있도록 합니다.

자세한 정보는 CI/CD 워크플로에서 취약한 컨테이너 이미지 식별을 참조하세요.

일부 권장 사항에 사용할 수 있는 추가 Resource Graph 쿼리

All of Security Center's recommendations have the option to view the information about the status of affected resources using Azure Resource Graph from the Open query. 이 강력한 기능에 대한 자세한 내용은 Azure Resource Graph Explorer에서 권장 사항 데이터 검토를 참조하세요.

Security Center에는 VM, SQL 서버 및 해당 호스트 및 컨테이너 레지스트리에서 보안 취약성을 검사하는 기본 제공 취약성 스캐너가 포함되어 있습니다. 결과는 각 리소스 종류에 대한 모든 개별 결과를 단일 보기로 제공하는 권장 사항으로 반환됩니다. 권장 사항은 다음과 같습니다.

Azure Container Registry 이미지의 취약성을 수정해야 합니다(Qualys 제공).
가상 머신의 취약성을 수정해야 함
SQL 데이터베이스가 발견한 취약성을 해결해야 함
컴퓨터의 SQL Server는 발견한 취약성을 해결해야 함

With this change, you can use the Open query button to also open the query showing the security findings.

The Open query button offers additional options for some other recommendations where relevant.

Security Center의 취약성 스캐너에 대해 자세히 알아보세요.

SQL 데이터 분류 권장 사항 심각도가 변경됨

SQL 데이터베이스에서 중요한 권장 사항 데이터의 심각도가 높음에서 낮음으로 변경되었습니다.

이는 향후 변경 내용 페이지에서 발표된 이 권장 사항에 대한 지속적인 변경 내용의 일부입니다.

신뢰할 수 있는 시작 기능을 사용하도록 설정하는 새로운 권장 사항(미리 보기)

Azure offers trusted launch as a seamless way to improve the security of generation 2 VMs. 신뢰할 수 있는 시작은 지속적인 고급 공격 기술로부터 보호합니다. 신뢰할 수 있는 시작은 독립적으로 사용하도록 설정할 수 있는 몇 가지 조정된 인프라 기술로 구성되어 있습니다. 각 기술은 정교한 위협에 대한 또 다른 방어 계층을 제공합니다. Azure 가상 머신에 대한 신뢰할 수 있는 시작에 대해 자세히 알아봅니다.

Important

신뢰할 수 있는 시작에는 새 가상 머신을 생성해야 합니다. 처음에는 가상 머신 없이 만든 기존 가상 머신에서 신뢰할 수 있는 시작을 사용하도록 설정할 수 없습니다.

신뢰할 수 있는 시작은 현재 공개 미리 보기로 제공됩니다. 미리 보기는 서비스 수준 계약 없이 제공되며 프로덕션 워크로드에는 권장되지 않습니다. 특정 기능이 지원되지 않거나 기능이 제한될 수 있습니다.

Security Center의 권장 사항인 vTPM은 지원되는 가상 머신에서 사용하도록 설정되어야 하며, Azure VM이 vTPM을 사용하고 있는지 확인합니다. 이 가상화된 버전의 하드웨어 신뢰할 수 있는 플랫폼 모듈은 VM의 전체 부팅 체인(UEFI, OS, 시스템 및 드라이버)을 측정하여 증명을 사용하도록 설정합니다.

vTPM을 사용하도록 설정하면 게스트 증명 확장에서 보안 부팅의 유효성을 원격으로 검사할 수 있습니다. 다음 권장 사항은 이 확장이 배포되었는지 확인합니다.

지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정해야 합니다.
지원되는 Windows 가상 머신에 게스트 증명 확장을 설치해야 함
지원되는 Windows 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함
지원되는 Linux 가상 머신에 게스트 증명 확장을 설치해야 합니다.
지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함

Azure 가상 머신에 대한 신뢰할 수 있는 시작에 대해 자세히 알아봅니다.

Kubernetes 클러스터 강화에 대한 새로운 권장 사항(미리 보기)

다음 권장 사항을 통해 Kubernetes 클러스터를 더욱 강화할 수 있습니다.

Kubernetes 클러스터에서 기본 네임스페이스를 사용하지 않아야 함 - ConfigMap, Pod, Secret, Service 및 ServiceAccount 리소스 종류에 대한 무단 액세스를 방지하려면 Kubernetes 클러스터에서 기본 네임스페이스를 사용하지 않도록 합니다.
Kubernetes 클러스터에서 자동 탑재 API 자격 증명을 사용하지 않도록 설정해야 함 - 잠재적으로 손상된 Pod 리소스가 Kubernetes 클러스터에 대해 API 명령을 실행하지 못하도록 하려면 API 자격 증명 자동 탑재를 사용하지 않도록 설정합니다.
Kubernetes 클러스터는 CAPSYSADMIN 보안 기능을 부여해서는 안 됩니다.

Security Center가 Security Center의 컨테이너 보안에서 컨테이너화된 환경을 보호하는 방법을 알아봅니다.

평가 API가 두 개의 새 필드로 확장됨

평가 REST API에 다음 두 필드를 추가했습니다.

FirstEvaluationDate – The time that the recommendation was created and first evaluated. ISO 8601 형식으로 UTC 시간으로 반환됩니다.
StatusChangeDate – The time that the status of the recommendation last changed. ISO 8601 형식으로 UTC 시간으로 반환됩니다.

모든 권장 사항에 대해 이러한 필드의 초기 기본값은 다음과 같습니다 2021-03-14T00:00:00+0000000Z.

이 정보에 액세스하려면 아래 표의 메서드를 사용할 수 있습니다.

Tool	Details
REST API 호출	`GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates`
Azure 리소스 그래프	`securityresources` `where type == "microsoft.security/assessments"`
Continuous export	두 개의 전용 필드는 Log Analytics 작업 영역 데이터를 사용할 수 있습니다.
CSV export	두 필드가 CSV 파일에 포함됩니다.

평가 REST API에 대해 자세히 알아봅니다.

자산 인벤토리가 클라우드 환경 필터를 가져옵니다.

Security Center의 자산 인벤토리 페이지는 표시되는 리소스 목록을 빠르게 구체화하기 위한 많은 필터를 제공합니다. 자산 인벤토리를 사용하여 리소스 탐색 및 관리에 대해 자세히 알아보세요.

새 필터는 Security Center의 다중 클라우드 기능으로 연결한 클라우드 계정에 따라 목록을 구체화하는 옵션을 제공합니다.

다중 클라우드 기능에 대해 자세히 알아보세요.

April 2021

4월의 업데이트는 다음과 같습니다.

새로 고친 리소스 상태 페이지(미리 보기)
최근 풀한 컨테이너 레지스트리 이미지가 매주 다시 검색됩니다(GA(일반 공급) 용으로 릴리스됨)
Azure Defender for Kubernetes를 사용하여 하이브리드 및 다중 클라우드 Kubernetes 배포 보호(미리 보기)
엔드포인트용 Microsoft Defender와 Azure Defender의 통합은 이제 GA(일반 공급)를 위해 릴리스된 Windows Virtual Desktop에서 Windows Server 2019 및 Windows 10을 지원합니다.
AZURE Defender for DNS 및 Resource Manager를 사용하도록 설정하는 권장 사항(미리 보기)
Azure CIS 1.3.0, CMMC 수준 3 및 뉴질랜드 ISM 제한의 세 가지 규정 준수 표준이 추가되었습니다.
게스트 구성과 관련된 4가지 새로운 권장 사항(미리 보기)
CMK 권장 사항이 모범 사례 보안 제어로 이동됨
11개의 Azure Defender 경고가 사용되지 않음
"시스템 업데이트 적용" 보안 제어의 두 가지 권장 사항은 더 이상 사용되지 않습니다.
Azure Defender 대시보드에서 제거된 컴퓨터 타일의 AZURE Defender for SQL
권장 사항이 보안 컨트롤 간에 이동되었습니다.

새로 고친 리소스 상태 페이지(미리 보기)

단일 리소스의 전반적인 상태에 대한 스냅샷 보기를 제공하기 위해 리소스 상태가 확장되고, 향상되고, 향상되었습니다.

리소스에 대한 자세한 정보와 해당 리소스에 적용되는 모든 권장 사항을 검토할 수 있습니다. 또한 Microsoft Defender의 고급 보호 플랜을 사용하는 경우 해당 특정 리소스에 대한 미해결 보안 경고도 볼 수 있습니다.

리소스에 대한 리소스 상태 페이지를 열려면 자산 인벤토리 페이지에서 리소스를 선택합니다.

Security Center 포털 페이지의 이 미리 보기 페이지에는 다음이 표시됩니다.

Resource information - The resource group and subscription it's attached to, the geographic location, and more.
적용된 보안 기능 - 리소스에 대해 Azure Defender를 사용할 수 있는지 여부입니다.
미해결 권장 사항 및 경고 수 - 미해결 보안 권장 사항 및 Azure Defender 경고의 수입니다.
실행 가능한 권장 사항 및 경고 - 리소스에 적용되는 권장 사항 및 경고를 나열하는 두 개의 탭입니다.

가상 머신의 상태 정보를 보여 주는 Azure Security Center의 리소스 상태 페이지

자습서: 리소스 상태 조사에서 자세히 알아보세요.

최근 풀한 컨테이너 레지스트리 이미지가 매주 다시 검색됩니다(GA(일반 공급) 용으로 릴리스됨)

컨테이너 레지스트리용 Azure Defender에는 기본 제공 취약성 스캐너가 포함되어 있습니다. 이 스캐너는 레지스트리에 푸시하는 모든 이미지와 지난 30일 이내에 끌어온 이미지를 즉시 검사합니다.

새로운 취약성이 매일 발견됩니다. With this update, container images that were pulled from your registries during the last 30 days will be rescanned every week. 이렇게 하면 새로 검색된 취약성이 이미지에서 식별됩니다.

스캔은 이미지별로 청구되므로 이러한 재검사에 대한 추가 요금은 없습니다.

컨테이너 레지스트리용 Azure Defender를 사용하여 이미지에서 취약성을 검사하는 이 스캐너에 대해 자세히 알아봅니다.

Azure Defender for Kubernetes를 사용하여 하이브리드 및 다중 클라우드 Kubernetes 배포 보호(미리 보기)

Azure Defender for Kubernetes는 배포되는 위치에 관계없이 클러스터를 보호하도록 위협 방지 기능을 확장하고 있습니다. 이는 Azure Arc 지원 Kubernetes 및 새로운 확장 기능과 통합하여 사용하도록 설정되었습니다.

비 Azure Kubernetes 클러스터에서 Azure Arc를 사용하도록 설정한 경우 Azure Security Center의 새로운 권장 사항은 몇 번의 클릭만으로 Azure Defender 에이전트를 배포하도록 제공합니다.

권장 사항(Azure Arc 지원 Kubernetes 클러스터에는 Azure Defender의 확장이 설치되어 있어야 함)과 확장을 사용하여 관리되는 Kubernetes 서비스가 아닌 다른 클라우드 공급자에 배포된 Kubernetes 클러스터를 보호합니다.

Azure Security Center, Azure Defender 및 Azure Arc 지원 Kubernetes 간의 이러한 통합은 다음을 제공합니다.

보호되지 않는 Azure Arc 지원 Kubernetes 클러스터에 Azure Defender 에이전트를 쉽게 프로비전(수동 및 대규모)
Azure Arc Portal에서 Azure Defender 에이전트 및 해당 프로비저닝 상태 모니터링
Security Center의 보안 권장 사항은 Azure Arc Portal의 새 보안 페이지에 보고됩니다.
Azure Defender에서 식별된 보안 위협은 Azure Arc Portal의 새 보안 페이지에 보고됩니다.
Azure Arc 지원 Kubernetes 클러스터를 Azure Security Center 플랫폼 및 환경에 통합

온-프레미스 및 다중 클라우드 Kubernetes 클러스터에서 Azure Defender for Kubernetes 사용에서 자세히 알아보세요.

Azure Defender와 엔드포인트용 Microsoft Defender 통합은 이제 GA(일반 공급)를 위해 릴리스된 Windows Virtual Desktop에서 Windows Server 2019 및 Windows 10을 지원합니다.

Microsoft Defender for Endpoint는 클라우드에서 제공하는 전체적인 엔드포인트 보안 솔루션입니다. 위험 기반 취약성 관리 및 평가뿐 아니라 엔드포인트 검색 및 응답(EDR)도 제공합니다. 엔드포인트용 Defender를 Azure Security Center와 함께 사용할 경우의 이점에 대한 전체 목록은 Security Center의 통합 EDR 솔루션인 엔드포인트용 Microsoft Defender 사용하여 엔드포인트 보호를 참조하세요.

실행 중인 Windows 서버에서 서버용 Azure Defender를 사용하도록 설정하면 엔드포인트용 Defender용 라이선스가 플랜에 포함됩니다. 서버에 Azure Defender를 사용하도록 이미 설정했고 구독에 Windows Server 2019 서버가 있는 경우 엔드포인트용 Defender가 이 업데이트와 함께 자동으로 수신됩니다. 수동 작업이 필요하지 않습니다.

이제 Windows Virtual Desktop에서 Windows Server 2019 및 Windows 10을 포함하도록 지원이 확장되었습니다.

Note

Windows Server 2019 서버에서 엔드포인트용 Defender를 사용하도록 설정하는 경우 엔드포인트용 Microsoft Defender 통합 사용에 설명된 필수 구성 요소를 충족하는지 확인합니다.

AZURE Defender for DNS 및 Resource Manager를 사용하도록 설정하는 권장 사항(미리 보기)

Resource Manager용 Azure Defender 및 DNS용 Azure Defender를 사용하도록 설정하는 프로세스를 간소화하기 위해 두 가지 새로운 권장 사항이 추가되었습니다.

Azure Defender for Resource Manager를 사용하도록 설정해야 합니다. Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다.
DNS용 Azure Defender를 사용하도록 설정 해야 합니다. Defender for DNS는 Azure 리소스의 모든 DNS 쿼리를 지속적으로 모니터링하여 클라우드 리소스에 대한 추가 보호 계층을 제공합니다. Azure Defender는 DNS 계층에서 의심스러운 활동에 대해 경고합니다.

Azure Defender 계획을 사용하도록 설정하면 요금이 발생합니다. Learn about the pricing details per region on Security Center's pricing page.

Tip

미리 보기 추천 사항은 리소스를 비정상으로 렌더링하지 않으며 보안 점수 계산에 포함되지 않습니다. 미리 보기 기간이 종료되면 점수에 기여할 수 있도록 가능한 경우 수정합니다. Azure Security Center의 추천 사항 수정에서 이러한 추천 사항에 대응하는 방법에 대해 자세히 알아보세요.

Azure CIS 1.3.0, CMMC Level 3 및 뉴질랜드 ISM 제한됨 등 3가지 규정 준수 표준이 추가됨

Azure Security Center와 함께 사용할 수 있도록 3가지 표준을 추가했습니다. 규정 준수 대시보드를 사용하면 이제 다음을 통해 규정 준수를 추적할 수 있습니다.

규정 준수 대시보드의 표준 집합 사용자 지정에 설명된 대로 구독에 할당할 수 있습니다.

자세한 내용은 다음을 참조하세요.

Azure의 게스트 구성 확장은 가상 머신의 게스트 내 설정이 강화되도록 Security Center에 보고합니다. Arc Connected Machine 에이전트에 포함되어 있으므로 Arc 지원 서버에는 확장이 필요하지 않습니다. 확장을 사용하려면 머신에서 시스템 관리 ID가 필요합니다.

이 확장을 최대한 활용하기 위해 Security Center에 4개의 새로운 권장 사항을 추가했습니다.

두 가지 권장 사항은 확장 및 필요한 시스템 관리 ID를 설치하라는 메시지를 표시합니다.
- 머신에 게스트 구성 확장을 설치해야 함
- 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함
확장이 설치되고 실행되면 컴퓨터 감사를 시작하고 운영 체제 구성 및 환경 설정과 같은 설정을 강화하라는 메시지가 표시됩니다. 다음 두 가지 권장 사항은 설명된 대로 Windows 및 Linux 머신을 강화하라는 메시지를 표시합니다.
- Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함
- Linux 머신에 대한 인증에 SSH 키가 필요함

Azure Policy의 게스트 구성 이해에 대해 자세히 알아보세요.

CMK 권장 사항이 모범 사례 보안 제어로 이동됨

모든 조직의 보안 프로그램에는 데이터 암호화 요구 사항이 포함되어 있습니다. 기본적으로 Azure 고객의 데이터는 미사용 시 서비스 관리형 키를 사용하여 암호화됩니다. 그러나 CMK(고객 관리형 키)는 일반적으로 규정 준수 표준을 충족해야 합니다. CMK를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. 이렇게 하면 회전 및 관리를 비롯한 주요 수명 주기에 대한 모든 권한과 책임이 있습니다.

Azure Security Center의 보안 제어는 관련 보안 권장 사항의 논리적 그룹이며 취약한 공격 노출 영역을 반영합니다. 모든 리소스에 대해 컨트롤에 나열된 모든 권장 사항을 수정하는 경우 각 컨트롤에는 보안 점수에 추가할 수 있는 최대 포인트 수가 있습니다. 보안 구현 모범 사례 보안 제어는 0포인트의 가치가 있습니다. 따라서 이 컨트롤의 권장 사항은 보안 점수에 영향을 주지 않습니다.

아래에 나열된 권장 사항은 선택적 특성을 더 잘 반영하기 위해 보안 구현 모범 사례 보안 제어로 이동되고 있습니다. 이러한 이동은 이러한 권장 사항이 목표를 달성하기 위해 가장 적절한 제어에 있는지 확인합니다.

Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
Azure Machine Learning 작업 영역은 CMK(고객 관리형 키)로 암호화해야 합니다.
Azure AI 서비스 계정은 CMK(고객 관리형 키)를 사용하여 데이터 암호화를 사용하도록 설정해야 합니다.
컨테이너 레지스트리는 CMK(고객 관리형 키)로 암호화해야 함
SQL Managed Instance는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
SQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함
스토리지 계정은 암호화에 CMK(고객 관리형 키)를 사용해야 함

보안 컨트롤의 각 보안 제어에 있는 권장 사항 및 권장 사항을 알아봅니다.

11 Azure Defender 경고가 더 이상 사용되지 않음

아래에 나열된 11개의 Azure Defender 경고는 더 이상 사용되지 않습니다.

새 경고는 이러한 두 경고를 대체하고 더 나은 적용 범위를 제공합니다.

AlertType	AlertDisplayName
ARM_MicroBurstDomainInfo	미리 보기 - MicroBurst 도구 키트 "Get-AzureDomainInfo" 함수 실행이 검색됨
ARM_MicroBurstRunbook	미리 보기 - MicroBurst 도구 키트 "Get-AzurePasswords" 함수 실행이 검색됨

이러한 9개의 경고는 이미 사용되지 않는 Azure IPC(Active Directory Identity Protection 커넥터)와 관련이 있습니다.

AlertType	AlertDisplayName
UnfamiliarLocation	익숙하지 않은 로그인 속성
AnonymousLogin	익명 IP 주소
InfectedDeviceLogin	맬웨어 연결 IP 주소
ImpossibleTravel	Atypical travel
MaliciousIP	악성 IP 주소
LeakedCredentials	Leaked credentials
PasswordSpray	Password Spray
LeakedCredentials	Azure AD 위협 인텔리전스
AADAI	Azure AD AI

Tip

이러한 9가지 IPC 경고는 Security Center 경고가 아닙니다. Security Center로 전송한 Azure IPC(Active Directory Identity Protection) 커넥터의 일부입니다. 지난 2년 동안 이러한 경고를 본 고객은 2019년 또는 그 이전에 커넥터에서 ASC로 내보내기를 구성한 조직뿐입니다. Azure Active Directory IPC는 자체 경고 시스템에 계속 표시하고 있으며 Microsoft Sentinel에서 계속 사용할 수 있습니다. 유일한 변경 내용은 Security Center에 더 이상 표시되지 않는다는 것입니다.

"시스템 업데이트 적용" 보안 제어에서 더 이상 사용되지 않는 두 가지 권장 사항

다음 두 가지 권장 사항은 더 이상 사용되지 않으며 변경으로 인해 보안 점수에 약간의 영향을 줄 수 있습니다.

시스템 업데이트를 적용하려면 머신을 다시 시작해야 함
모니터링 에이전트는 컴퓨터에 설치해야 합니다. 이 권장 사항은 온-프레미스 머신에만 관련되며 일부 논리는 다른 권장 사항으로 전송됩니다. Log Analytics 에이전트 상태 문제는 머신에서 해결되어야 합니다.

연속 내보내기 및 워크플로 자동화 구성을 확인하여 이러한 권장 사항이 포함되어 있는지 확인하는 것이 좋습니다. 또한 대시보드 또는 대시보드를 사용할 수 있는 다른 모니터링 도구도 그에 따라 업데이트해야 합니다.

Azure Defender 대시보드에서 제거되는 머신 타일의 Azure Defender for SQL

Azure Defender 대시보드의 적용 범위 영역에는 사용자 환경에 대한 관련 Azure Defender 계획에 대한 타일이 포함되어 있습니다. 보호된 리소스 및 보호되지 않는 리소스 수 보고와 관련된 문제로 인해 문제가 해결될 때까지 컴퓨터에서 AZURE Defender for SQL에 대한 리소스 적용 상태를 일시적으로 제거하기로 결정했습니다.

보안 컨트롤 간에 이동된 권장 사항

다음 권장 사항은 다른 보안 제어로 이동했습니다. 보안 제어는 관련 보안 권장 사항의 논리적 그룹이며 취약한 공격 노출 영역을 반영합니다. 이렇게 이동하면 이러한 각 권장 사항이 목표를 달성하기 위해 가장 적절한 제어에 있게 됩니다.

보안 컨트롤의 각 보안 제어에 있는 권장 사항 및 권장 사항을 알아봅니다.

Recommendation

변경 및 영향

SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다.
SQL 관리형 인스턴스에서 취약성 평가를 사용하도록 설정해야 합니다.
SQL 데이터베이스의 취약성을 새로 수정해야 합니다.
VM의 SQL 데이터베이스에 대한 취약성을 수정해야 합니다.

취약성 수정에서 이동(6포인트 가치)
보안 구성을 수정합니다(4포인트 가치).
사용자 환경에 따라 이러한 권장 사항은 점수에 미치는 영향이 줄어듭니다.

구독에 둘 이상의 소유자를 할당해야 합니다.
Automation 계정 변수를 암호화해야 함
IoT 디바이스 - 감사 프로세스에서 이벤트 전송을 중지했습니다.
IoT 디바이스 - 운영 체제 기준 유효성 검사 실패
IoT 디바이스 - TLS 암호화 도구 모음 업그레이드 필요
IoT 디바이스 - 디바이스에서 포트 열기
IoT 디바이스 - 체인 중 하나에서 허용되는 방화벽 정책이 발견됨
IoT 디바이스 - 체인 중 하나에서 허용되는 방화벽 정책이 발견됨
IoT 디바이스 - 출력 체인에서 허용되는 방화벽 규칙이 발견됨
IoT Hub의 진단 로그를 사용하도록 설정해야 합니다.
IoT 디바이스 - 사용량이 적은 메시지를 보내는 에이전트
IoT 디바이스 - 기본 IP 필터 정책은 거부해야 함
IoT 디바이스 - IP 필터 규칙 큰 IP 범위
IoT 디바이스 - 에이전트 메시지 간격 및 크기를 조정해야 함
IoT 디바이스 - 동일한 인증 자격 증명
IoT 디바이스 - 감사된 프로세스가 이벤트 전송을 중지했습니다.
IoT 디바이스 - OS(운영 체제) 기준 구성을 수정해야 함

보안 모범 사례 구현으로 이동합니다.
권장 사항이 아무런 가치가 없는 보안 구현 모범 사례 보안 제어로 이동하면 권장 사항이 더 이상 보안 점수에 영향을 주지 않습니다.

March 2021

3월 업데이트는 다음과 같습니다.

Security Center에 Azure 방화벽 관리 통합
SQL 취약성 평가에는 이제 "규칙 사용 안 함" 환경(미리 보기)이 포함됩니다.
Security Center에 통합된 Azure Monitor 통합 문서 및 제공된 3개의 템플릿
이제 규정 준수 대시보드에 Azure 감사 보고서(미리 보기)가 포함됩니다.
"ARG에서 탐색"을 사용하여 Azure Resource Graph에서 권장 사항 데이터를 볼 수 있습니다.
워크플로 자동화 배포에 대한 정책 업데이트
두 가지 레거시 권장 사항은 더 이상 Azure 활동 로그에 직접 데이터를 쓰지 않습니다.
권장 사항 페이지 개선

Security Center에 Azure 방화벽 관리 통합

Azure Security Center를 열면 첫 번째 페이지가 개요 페이지로 표시됩니다.

이 대화형 대시보드는 하이브리드 클라우드 워크로드의 보안 태세에 대한 통합 보기를 제공합니다. 또한 보안 경고, 적용 범위 정보 등을 보여 줍니다.

중앙 환경에서 보안 상태를 볼 수 있도록 돕기 위해 Azure Firewall Manager를 이 대시보드에 통합했습니다. 이제 모든 네트워크에서 방화벽 검사 상태를 확인하고 Security Center부터 Azure Firewall 정책을 중앙에서 관리할 수 있습니다.

Azure Security Center의 개요 페이지에서 이 대시보드에 대해 자세히 알아보세요.

Azure Firewall용 타일이 있는 Security Center의 개요 대시보드

SQL 취약성 평가에는 이제 "규칙 사용 안 함" 환경(미리 보기)이 포함됩니다.

Security Center에는 잠재적 데이터베이스 취약성을 검색, 추적 및 수정하는 데 도움이 되는 기본 제공 취약점 스캐너가 포함되어 있습니다. 평가 검사의 결과는 SQL 머신의 보안 상태에 대한 개요와 보안 결과에 대한 세부 정보를 제공합니다.

조직에서 결과를 수정하지 않고 무시해야 하는 요구 사항이 있으면 필요에 따라 이 결과를 사용하지 않도록 설정할 수 있습니다. 사용하지 않도록 설정된 결과는 보안 점수에 영향을 주거나 원치 않는 노이즈를 생성하지 않습니다.

특정 결과 사용 안 함에서 자세히 알아보세요.

Security Center에 Azure Monitor 통합 문서를 통합하고 세 가지 템플릿 제공

Ignite Spring 2021의 일환으로 Security Center에서 통합된 Azure Monitor 통합 문서 환경을 발표했습니다.

새 통합을 사용하여 Security Center 갤러리에서 기본 제공 템플릿 사용을 시작할 수 있습니다. 통합 문서 템플릿을 사용하여 동적 및 시각적 보고서에 액세스하고 빌드하여 조직의 보안 상태를 추적할 수 있습니다. 또한 Security Center 데이터 또는 지원되는 다른 데이터 형식을 기반으로 새 통합 문서를 만들고 Security Center의 GitHub 커뮤니티에서 커뮤니티 통합 문서를 신속하게 배포할 수 있습니다.

세 가지 템플릿 보고서가 제공됩니다.

시간 경과에 따른 보안 점수 - 구독의 점수와 리소스에 대한 권장 사항의 변경 내용 추적
System Updates - View missing system updates by resources, OS, severity, and more
취약성 평가 결과 - Azure 리소스의 취약성 검사 결과 보기

Security Center 데이터의 풍부한 대화형 보고서 만들기에서 이러한 보고서를 사용하거나 직접 빌드하는 방법을 알아봅니다.

시간별 보안 점수 보고서입니다.

이제 규정 준수 대시보드에 Azure 감사 보고서(미리 보기)가 포함됩니다.

이제 규정 준수 대시보드의 도구 모음에서 Azure 및 Dynamics 인증 보고서를 다운로드할 수 있습니다.

규정 준수 대시보드의 도구 모음

관련 보고서 유형(PCI, SOC, ISO 등)에 대한 탭을 선택하고 필터를 사용하여 필요한 특정 보고서를 찾을 수 있습니다.

규정 준수 대시보드에서 표준을 관리하는 방법에 대해 자세히 알아봅니다.

사용 가능한 Azure 감사 보고서 목록을 필터링합니다.

"ARG에서 탐색"을 사용하여 Azure Resource Graph에서 권장 사항 데이터를 볼 수 있습니다.

권장 사항 세부 정보 페이지에는 이제 "ARG에서 탐색" 도구 모음 단추가 포함됩니다. 이 단추를 사용하여 Azure Resource Graph 쿼리를 열고 권장 사항의 데이터를 탐색, 내보내기 및 공유합니다.

ARG(Azure Resource Graph)의 강력한 필터링, 그룹화 및 정렬 기능을 통해 클라우드 환경에서 리소스 정보에 즉시 액세스할 수 있습니다. Azure 구독 간에 프로그래밍 방식으로 또는 Azure Portal 내에서 정보를 쿼리하는 빠르고 효율적인 방법입니다.

Azure Resource Graph에 대해 자세히 알아봅니다.

Azure Resource Graph에서 권장 사항 데이터를 탐색합니다.

워크플로 자동화 배포에 대한 정책 업데이트

조직의 모니터링 및 인시던트 대응 프로세스를 자동화하면 보안 인시던트를 조사하고 완화하는 데 걸리는 시간을 크게 향상시킬 수 있습니다.

자동화를 조직 전체에 배포할 수 있도록 워크플로 자동화 프로시저를 만들고 구성하는 다음과 같은 세 가지 Azure Policy 'DeployIfNotExist' 정책을 제공합니다.

Goal	Policy	Policy ID
보안 경고에 대한 워크플로 자동화	Azure Security Center 경고에 대한 워크플로 자동화 배포	f1525828-9a90-4fcf-be48-268cdd02361e
보안 추천 사항에 대한 워크플로 자동화	Azure Security Center 권장 사항에 대한 워크플로 자동화 배포	73d6ab6c-2475-4850-afd6-43795f3492ef
규정 준수 변경에 대한 워크플로 자동화	Azure Security Center 규정 준수를 위한 워크플로 자동화 배포	509122b9-ddd9-47ba-a5f1-d0dac20be63c

이러한 정책의 기능에는 다음 두 가지 업데이트가 있습니다.

할당되면 적용에 의해 활성화된 상태로 유지됩니다.
이제 이러한 정책을 사용자 지정하고 매개 변수가 이미 배포된 후에도 모든 매개 변수를 업데이트할 수 있습니다. 예를 들어 평가 키를 추가하거나 편집할 수 있습니다.

워크플로 자동화 템플릿을 시작합니다.

Security Center 트리거에 대한 응답 자동화 방법에 대해 자세히 알아보세요.

두 가지 레거시 권장 사항은 더 이상 Azure 활동 로그에 직접 데이터를 쓰지 않습니다.

Security Center는 거의 모든 보안 권장 사항에 대한 데이터를 Azure Advisor에 전달하여 Azure 활동 로그에 씁니다.

두 가지 권장 사항의 경우 데이터가 Azure 활동 로그에 동시에 직접 씁니다. 이 변경으로 Security Center는 이러한 레거시 보안 권장 사항에 대한 데이터를 활동 로그에 직접 쓰는 것을 중지합니다. 대신, 다른 모든 권장 사항과 마찬가지로 Azure Advisor로 데이터를 내보내고 있습니다.

두 가지 레거시 권장 사항은 다음과 같습니다.

머신에서 엔드포인트 보호 상태 문제를 해결해야 함
머신 보안 구성의 취약성을 수정해야 합니다.

활동 로그의 "TaskDiscovery 유형 권장 사항" 범주에서 이러한 두 권장 사항에 대한 정보에 액세스한 경우 더 이상 사용할 수 없습니다.

권장 사항 페이지 개선

더 많은 정보를 한눈에 볼 수 있도록 향상된 버전의 권장 사항 목록을 릴리스했습니다.

이제 페이지에 다음이 표시됩니다.

각 보안 컨트롤의 최대 점수 및 현재 점수입니다.
Icons replacing tags such as Fix and Preview.
A new column showing the Policy initiative related to each recommendation - visible when "Group by controls" is disabled.

Azure Security Center의 보안 권장 사항에 대해 자세히 알아보세요.

February 2021

2월 업데이트는 다음과 같습니다.

GA(일반 공급)를 위해 릴리스된 Azure Portal의 새 보안 경고 페이지
Kubernetes 워크로드 보호 권장 사항이 GA(일반 공급)로 릴리스됨
Azure Defender와 엔드포인트용 Microsoft Defender의 통합은 이제 Windows Virtual Desktop에서 Windows Server 2019 및 Windows 10을 지원합니다(미리 보기)
권장 사항 세부 정보 페이지에서 정책으로 직접 연결
SQL 데이터 분류 권장 사항은 더 이상 보안 점수에 영향을 주지 않습니다.
규정 준수 평가 변경 사항으로 워크플로 자동화가 트리거될 수 있음(미리 보기)
자산 인벤토리 페이지 개선 사항

GA(일반 공급)를 위해 릴리스된 Azure Portal의 새 보안 경고 페이지

Azure Security Center의 보안 경고 페이지는 다음을 제공하도록 다시 디자인되었습니다.

경고 에 대한 심사 환경 개선 - 경고 피로를 줄이고 가장 관련성이 큰 위협에 더 쉽게 집중할 수 있도록 이 목록에는 사용자 지정 가능한 필터 및 그룹화 옵션이 포함되어 있습니다.
경고 목록 의 자세한 정보(예: MITRE ATT&ACK 전술)
샘플 알림을 만드는 단추 - Azure Defender 기능을 평가하고 알림을 테스트 구성(SIEM 통합, 메일 알림 및 워크플로 자동화의 경우) 모든 Azure Defender 계획에서 샘플 경고를 만들 수 있습니다.
Azure Sentinel의 인시던트 환경 과 일치 - 두 제품을 모두 사용하는 고객을 위해 두 제품 간 전환은 이제 더 간단한 환경이며 다른 제품에서 쉽게 배울 수 있습니다.
Better performance for large alerts lists.
Keyboard navigation through the alert list.
Azure Resource Graph 의 경고 - 모든 리소스에 대한 Kusto와 유사한 API인 Azure Resource Graph에서 경고를 쿼리할 수 있습니다. 이는 자체 경고 대시보드를 빌드하는 경우에도 유용합니다. Azure Resource Graph에 대한 자세한 정보.
샘플 경고 기능 만들기 - 새 경고 환경에서 샘플 경고를 만들려면 샘플 Azure Defender 경고 생성을 참조 하세요.

Kubernetes 워크로드 보호 권장 사항이 GA(일반 공급)로 릴리스됨

Kubernetes 워크로드 보호에 대한 권장 사항 집합의 GA(일반 공급)를 발표하게 되어 기쁩니다.

Kubernetes 워크로드를 기본적으로 안전하게 보호하기 위해 Security Center에서 Kubernetes 허용 제어가 있는 적용 옵션을 포함하여 Kubernetes 수준 보안 강화 권장 사항이 추가되었습니다.

AKS(Azure Kubernetes Service) 클러스터에 Kubernetes용 Azure Policy가 설치되면 Kubernetes API 서버에 대한 모든 요청은 클러스터에 유지되기 전에 13개의 보안 권장 사항으로 표시되는 미리 정의된 모범 사례 집합에 대해 모니터링됩니다. 그런 다음, 모범 사례를 적용하고 향후 워크로드에 대해 위임하도록 구성할 수 있습니다.

예를 들어 권한 있는 컨테이너를 만들지 않도록 위임할 수 있습니다. 그러면, 이러한 작업에 대한 이후의 모든 요청이 차단됩니다.

Kubernetes 허용 제어를 사용하는 워크로드 보호 모범 사례에 대해 자세히 알아보세요.

Note

권장 사항은 미리 보기로 제공되는 동안 AKS 클러스터 리소스를 비정상으로 렌더링하지 않았으며 보안 점수 계산에 포함되지 않았습니다. 이 GA 발표를 통해 점수 계산에 포함됩니다. 아직 수정하지 않은 경우 보안 점수에 약간의 영향을 줄 수 있습니다. 가능한 경우 Azure Security Center의 권장 사항 수정에서 설명한 대로 이러한 권장 사항을 수정합니다.

Azure Defender와의 엔드포인트용 Microsoft Defender 통합은 이제 Windows Virtual Desktop에서 Windows Server 2019 및 Windows 10을 지원합니다(미리 보기)

이제 Windows Virtual Desktop에서 Windows Server 2019 및 Windows 10을 포함하도록 지원이 확장되었습니다.

Note

권장 사항 세부 정보 페이지에서 정책으로 직접 연결

권장 사항에 대한 세부 정보를 검토할 때 기본 정책을 볼 수 있으면 도움이 되는 경우가 많습니다. 정책에서 지원하는 모든 권장 사항에 대해 권장 사항 세부 정보 페이지의 새 링크가 있습니다.

권장 사항을 지원하는 특정 정책에 대한 Azure Policy 페이지로 연결됩니다.

이 링크를 사용하여 정책 정의를 확인하고 평가 논리를 검토합니다.

SQL 데이터 분류 권장 사항은 더 이상 보안 점수에 영향을 주지 않습니다.

SQL 데이터베이스의 중요한 권장 사항 데이터는 더 이상 보안 점수에 영향을 주지 않습니다. 보안 컨트롤 이 포함된 데이터 분류 적용은 이제 보안 점수 값이 0입니다.

모든 보안 컨트롤의 전체 목록과 해당 점수 및 각 권장 사항 목록은 보안 컨트롤 및 권장 사항을 참조 하세요.

규정 준수 평가 변경 사항으로 워크플로 자동화가 트리거될 수 있음(미리 보기)

워크플로 자동화를 위한 트리거 옵션인 규정 준수 평가 변경에 세 번째 데이터 형식을 추가했습니다.

Security Center 트리거에 대한 자동 응답에서 워크플로 자동화 도구를 사용하는 방법을 알아봅니다.

자산 인벤토리 페이지 개선 사항

Security Center의 자산 인벤토리 페이지가 개선되었습니다.

Summaries at the top of the page now include Unregistered subscriptions, showing the number of subscriptions without Security Center enabled.
필터는 다음을 포함하도록 확장 및 향상되었습니다.
- Counts - Each filter presents the number of resources that meet the criteria of each category
- 예외 필터 (선택 사항)를 포함합니다. 예외가 있는/없는 리소스로 결과를 좁힐 수 있습니다. This filter isn't shown by default, but is accessible from the Add filter button.

자산 인벤토리를 사용하여 리소스를 탐색하고 관리하는 방법에 대해 자세히 알아봅니다.

January 2021

1월의 업데이트는 다음과 같습니다.

Azure Security Benchmark는 이제 Azure Security Center의 기본 정책 이니셔티브임
온-프레미스 및 다중 클라우드 머신의 취약성 평가가 GA(일반 공급)를 위해 릴리스되었습니다.
이제 관리 그룹의 보안 점수를 미리 보기에서 볼 수 있음
보안 점수 API는 GA(일반 공급)를 위해 릴리스되었습니다.
App Service용 Azure Defender에 현수 DNS 방지가 추가됨
다중 클라우드 커넥터는 GA(일반 공급)용으로 릴리스되었습니다.
구독 및 관리 그룹에 대한 보안 점수에서 전체 권장 사항 제외
이제 사용자는 전역 관리자에게 테넌트 전체 가시성을 요청할 수 있습니다.
Azure 보안 벤치마크의 적용 범위를 늘리기 위해 35개의 미리 보기 추천 사항이 추가됨
필터링된 권장 사항 목록의 CSV 내보내기
Azure Policy 평가에서 “해당 없음” 리소스가 이제 “준수”로 보고됨
연속 내보내기를 사용하여 보안 점수 및 규정 준수 데이터의 주간 스냅샷 내보내기(미리 보기)

Azure 보안 벤치마크는 이제 Azure Security Center의 기본 정책 이니셔티브입니다.

Azure 보안 벤치마크는 일반적인 규정 준수 프레임워크를 기반으로 하는 보안 및 규정 준수 모범 사례에 대해 Microsoft에서 작성한 Azure 관련 지침 세트입니다. 널리 인정받는 이 벤치마크는 클라우드 중심 보안에 초점을 맞춘 CIS(Center for Internet Security) 및 NIST(National Institute of Standards and Technology)의 컨트롤을 기반으로 합니다.

최근 몇 개월 동안 Security Center의 기본 제공 보안 권장 사항 목록은 이 벤치마크의 적용 범위를 확장하기 위해 크게 증가했습니다.

이 릴리스에서 벤치마크는 Security Center의 권장 사항의 기초이며 기본 정책 이니셔티브로 완전히 통합됩니다.

모든 Azure 서비스에는 설명서에 보안 기준 페이지가 있습니다. 이러한 기준은 Azure Security Benchmark를 기반으로 합니다.

Security Center의 규정 준수 대시보드를 사용하는 경우 전환 기간 동안 두 가지 벤치마크 인스턴스를 볼 수 있습니다.

Azure Security Benchmark를 보여 주는 Azure Security Center의 규정 준수 대시보드

기존 권장 사항은 영향을 받지 않으며 벤치마크가 증가함에 따라 변경 내용이 Security Center 내에 자동으로 반영됩니다.

자세한 내용은 다음 페이지를 참조하세요.

온-프레미스 및 다중 클라우드 머신의 취약성 평가가 GA(일반 공급)를 위해 릴리스되었습니다.

당사는 10월에 서버용 Azure Defender의 통합 취약성 평가 스캐너(Qualys 기반)로 Azure Arc 사용 서버를 검색하는 기능의 미리 보기를 발표했습니다.

이제 GA(일반 공급)를 위해 릴리스되었습니다.

비 Azure 머신에서 Azure Arc를 사용하도록 설정한 경우 Security Center는 통합 취약성 스캐너를 수동으로 대규모로 배포할 수 있습니다.

이번 업데이트를 통해 모든 Azure 및 비-Azure 자산의 취약성 관리 프로그램을 통합하는 서버용 Azure Defender의 강력한 성능을 발휘할 수 있습니다.

Main capabilities:

Azure Arc 머신의 VA(취약성 평가) 스캐너 프로비저닝 상태 모니터링
보호되지 않는 Windows 및 Linux Azure Arc 머신에 통합 VA 에이전트 프로비전(수동 및 대규모)
배포된 에이전트에서 탐지된 취약성 수신 및 분석(수동 및 대규모로)
Azure VM 및 Azure Arc 머신에 대한 통합 환경

하이브리드 컴퓨터에 통합 Qualys 취약성 스캐너 배포에 대해 자세히 알아보세요.

Azure Arc 지원 서버에 대해 자세히 알아보세요.

이제 관리 그룹의 보안 점수를 미리 보기에서 볼 수 있음

이제 보안 점수 페이지에 구독 수준 외에도 관리 그룹에 대한 집계된 보안 점수가 표시됩니다. 이제 조직의 관리 그룹 목록과 각 관리 그룹의 점수를 볼 수 있습니다.

관리 그룹의 보안 점수 보기

Azure Security Center의 보안 점수 및 보안 제어에 대해 자세히 알아보세요.

보안 점수 API는 GA(일반 공급)를 위해 릴리스되었습니다.

이제 보안 점수 API를 통해 점수에 액세스할 수 있습니다. API 메서드는 데이터를 쿼리할 수 있는 유연성을 제공하고, 시간 경과에 따른 보안 점수에 대한 사용자 고유의 보고 메커니즘을 빌드합니다. For example:

use the Secure Scores API to get the score for a specific subscription
보안 점수 제어 API를 사용하여 보안 제어 및 구독의 현재 점수를 나열합니다.

GitHub 커뮤니티의 보안 점수 영역에서 보안 점수 API 를 사용하여 가능한 외부 도구에 대해 알아봅니다.

Azure Security Center의 보안 점수 및 보안 제어에 대해 자세히 알아보세요.

App Service용 Azure Defender에 현수 DNS 방지가 추가됨

하위 도메인 인수는 조직에 일반적이고 심각도가 높은 위협입니다. 프로비전 해제된 웹 사이트를 가리키는 DNS 레코드가 있는 경우 하위 도메인 인수가 발생할 수 있습니다. 이러한 DNS 레코드는 "현수 DNS" 항목으로도 알려져 있습니다. CNAME 레코드는 특히 이 위협에 취약합니다.

하위 도메인 인수를 사용하면 위협 행위자가 조직의 도메인에 대한 트래픽을 악의적인 활동을 수행하는 사이트로 리디렉션할 수 있습니다.

이제 앱 서비스 웹 사이트가 해제될 때 Azure Defender for App Service가 현수 DNS 항목을 검색합니다. DNS 항목이 존재하지 않는 리소스를 가리키는 순간이며 웹 사이트는 하위 도메인 인수에 취약합니다. 이러한 보호는 도메인이 Azure DNS 또는 외부 도메인 등록 기관으로 관리되는지 여부에 관계없이 사용할 수 있으며 Windows의 App Service와 Linux의 App Service 모두에 적용됩니다.

Learn more:

App Service 경고 참조 테이블 - 현수 DNS 항목이 검색될 때 트리거되는 두 개의 새로운 Azure Defender 경고가 포함됩니다.
현수 DNS 항목을 방지하고 하위 도메인 인수 방지 - 하위 도메인 인수 의 위협 및 현수 DNS 측면에 대해 알아보기
App Service용 Azure Defender 소개

다중 클라우드 커넥터는 GA(일반 공급)용으로 릴리스되었습니다.

클라우드 워크로드가 일반적으로 여러 클라우드 플랫폼에 걸쳐 있는 경우 클라우드 보안 서비스도 동일한 작업을 수행해야 합니다.

Azure Security Center는 Azure, AWS(Amazon Web Services) 및 GCP(Google Cloud Platform)의 워크로드를 보호합니다.

AWS 또는 GCP 프로젝트를 연결하면 AWS Security Hub 및 GCP 보안 명령 센터와 같은 기본 보안 도구를 Azure Security Center에 통합합니다.

이 기능은 Security Center가 모든 주요 클라우드 환경에서 가시성 및 보호를 제공한다는 것을 의미합니다. 이 통합의 이점 중 일부는 다음과 같습니다.

자동 에이전트 프로비저닝 - Security Center는 Azure Arc를 사용하여 AWS 인스턴스에 Log Analytics 에이전트를 배포합니다.
Policy management
Vulnerability management
포함된 EDR(엔드포인트 검색 및 응답)
잘못된 보안 구성 검색
모든 클라우드 공급자의 보안 권장 사항을 보여주는 단일 보기
Security Center의 보안 점수 계산에 모든 리소스 통합
AWS 및 GCP 리소스에 대한 규정 준수 평가

From Defender for Cloud's menu, select Multicloud connectors and you'll see the options for creating new connectors:

Security Center 다중 클라우드 커넥터 페이지의 AWS 계정 추가 단추

자세한 내용은 다음을 참조하세요.

구독 및 관리 그룹에 대한 보안 점수에서 전체 권장 사항 제외

전체 권장 사항을 포함하도록 예외 기능을 확장하고 있습니다. Security Center에서 구독, 관리 그룹 또는 리소스에 대해 만드는 보안 권장 사항을 세부적으로 조정하는 추가 옵션을 제공합니다.

Security Center가 검색하지 않은 타사 도구에서 문제가 해결되었음을 알고 있으면 리소스가 비정상으로 나열되는 경우가 있습니다. 또는 해당 영역이 아닌 것으로 생각되는 범위에 권장 사항이 표시됩니다. 권장 사항은 특정 구독에 적합하지 않을 수도 있습니다. 또는 조직에서 특정 리소스 또는 권장 사항과 관련된 위험을 수락하기로 결정했습니다.

이 미리 보기 기능을 사용하면 이제 권장 사항에 대한 예외를 만들 수 있습니다.

나중에 비정상 리소스 와 함께 나열되지 않고 보안 점수에 영향을 주지 않도록 리소스를 제외합니다. 리소스가 해당되지 않는 것으로 나열되고 선택한 특정 근거와 함께 이유가 "예외"로 표시됩니다.
권장 사항이 보안 점수에 영향을 주지 않고 향후 구독 또는 관리 그룹에 표시되지 않도록 하려면 구독 또는 관리 그룹을 제외합니다. 이는 기존 리소스와 나중에 만드는 리소스와 관련이 있습니다. 권장 사항은 선택한 범위에 대해 선택한 특정 근거로 표시됩니다.

보안 점수에서 리소스 및 권장 사항 제외에 대해 자세히 알아보세요.

이제 사용자는 전역 관리자에게 테넌트 전체 가시성을 요청할 수 있습니다.

사용자에게 Security Center 데이터를 볼 수 있는 권한이 없는 경우 이제 조직의 전역 관리자에게 권한을 요청하는 링크가 표시됩니다. 요청에는 필요한 역할과 필요한 이유에 대한 정당성이 포함됩니다.

사용자에게 테넌트 전체의 사용 권한을 요청할 수 있음을 알리는 배너.

부족한 경우 테넌트 전체 권한 요청에서 자세히 알아봅니다.

Azure 보안 벤치마크의 적용 범위를 늘리기 위해 35개의 미리 보기 추천 사항이 추가됨

Azure Security Benchmark 는 Azure Security Center의 기본 정책 이니셔티브입니다.

이 벤치마크의 적용 범위를 늘리기 위해 다음 35개의 미리 보기 권장 사항이 Security Center에 추가되었습니다.

Tip

Security control	New recommendations
미사용 데이터 암호화 사용	- Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. - Azure Machine Learning 작업 영역은 CMK(고객 관리형 키)로 암호화해야 합니다. - MySQL 서버에 대해 사용자 고유의 키 데이터 보호를 사용하도록 설정해야 함 - PostgreSQL 서버에 대해 사용자 고유의 키 데이터 보호를 사용하도록 설정해야 함 - Azure AI 서비스 계정은 CMK(고객 관리형 키)를 사용하여 데이터 암호화를 사용하도록 설정해야 합니다. - 컨테이너 레지스트리는 CMK(고객 관리형 키)로 암호화해야 함 - SQL Managed Instance는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 - SQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. - 스토리지 계정은 암호화에 CMK(고객 관리형 키)를 사용해야 함
보안 모범 사례 구현	- 구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 - 구독에서 Log Analytics 에이전트의 자동 프로비전을 사용하도록 설정해야 합니다. - 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정해야 합니다. - 높은 심각도 경고에 대한 구독 소유자에게 전자 메일 알림을 사용하도록 설정해야 합니다. - 키 자격 증명 모음에 제거 보호가 사용하도록 설정되어 있어야 합니다. - 키 자격 증명 모음에 일시 삭제를 사용하도록 설정해야 함
액세스 및 권한 관리	- 함수 앱은 '클라이언트 인증서(들어오는 클라이언트 인증서)'를 사용하도록 설정해야 함
DDoS 공격으로부터 애플리케이션 보호	- Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 합니다. - WAF(Web Application Firewall)를 Azure Front Door Service 서비스에 사용하도록 설정해야 합니다.
무단 네트워크 액세스 제한	- Key Vault에서 방화벽을 사용하도록 설정해야 함 - Key Vault에 대해 프라이빗 엔드포인트를 구성해야 합니다. - App Configuration은 프라이빗 링크를 사용해야 함 - Azure Cache for Redis는 가상 네트워크 내에 있어야 합니다. - Azure Event Grid 도메인은 프라이빗 링크를 사용해야 합니다. - Azure Event Grid 토픽은 프라이빗 링크를 사용해야 합니다. - Azure Machine Learning 작업 영역에서 프라이빗 링크를 사용해야 합니다. - Azure SignalR Service는 프라이빗 링크를 사용해야 합니다. - Azure Spring Cloud는 네트워크 주입을 사용해야 합니다. - 컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함 - 컨테이너 레지스트리는 프라이빗 링크를 사용해야 합니다. - MariaDB 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 - MySQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 - PostgreSQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 - 스토리지 계정은 프라이빗 링크 연결을 사용해야 합니다. - 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 합니다. - VM Image Builder 템플릿은 프라이빗 링크를 사용해야 합니다.

필터링된 권장 사항 목록의 CSV 내보내기

2020년 11월에 권장 사항 페이지에 필터를 추가했습니다.

이 공지 사항을 통해 CSV 내보내기에서 현재 필터링된 목록에 표시된 권장 사항만 포함하도록 CSV로 다운로드 단추의 동작을 변경합니다.

예를 들어 아래 이미지에서 목록이 두 가지 권장 사항으로 필터링된 것을 볼 수 있습니다. 생성된 CSV 파일에는 이러한 두 권장 사항의 영향을 받는 모든 리소스에 대한 상태 세부 정보가 포함됩니다.

필터링된 권장 사항을 CSV 파일로 내보냅니다.

Azure Security Center의 보안 권장 사항에 대해 자세히 알아보세요.

Azure Policy 평가에서 “해당 없음” 리소스가 이제 “준수”로 보고됨

Previously, resources that were evaluated for a recommendation and found to be not applicable appeared in Azure Policy as "Non-compliant". 어떤 사용자 작업도 상태를 "준수"로 변경할 수 없습니다. 이러한 변경으로 명확성을 향상시키기 위해 "준수"로 보고됩니다.

유일한 영향은 준수 리소스 수가 증가하는 Azure Policy에서 볼 수 있습니다. Azure Security Center의 보안 점수에는 영향을 주지 않습니다.

연속 내보내기를 사용하여 보안 점수 및 규정 준수 데이터의 주간 스냅샷 내보내기(미리 보기)

We've added a new preview feature to the continuous export tools for exporting weekly snapshots of secure score and regulatory compliance data.

연속 내보내기를 정의할 때 내보내기 빈도를 설정합니다.

연속 내보내기의 빈도 선택

Streaming – assessments will be sent when a resource's health state is updated (if no updates occur, no data will be sent).
Snapshots – a snapshot of the current state of all regulatory compliance assessments will be sent every week (this is a preview feature for weekly snapshots of secure scores and regulatory compliance data).

Security Center 데이터를 지속적으로 내보내기에서 이 기능의 전체 기능에 대해 자세히 알아봅니다.

December 2020

12월의 업데이트는 다음과 같습니다.

컴퓨터의 AZURE Defender for SQL 서버는 일반적으로 사용할 수 있습니다.
Azure Synapse Analytics 전용 SQL 풀에 대한 AZURE Defender for SQL 지원은 일반적으로 사용할 수 있습니다.
전역 관리자는 이제 자신에게 테넌트 수준 권한을 부여할 수 있습니다.
두 가지 새로운 Azure Defender 계획: DNS용 Azure Defender 및 Resource Manager용 Azure Defender(미리 보기)
Azure Portal의 새 보안 경고 페이지(미리 보기)
Azure SQL Database 및 SQL Managed Instance의 다시 활성화된 Security Center 환경
자산 인벤토리 도구 및 필터 업데이트됨
SSL 인증서를 요청하는 웹앱에 대한 권장 사항은 더 이상 보안 점수의 일부가 아닙니다.
권장 사항 페이지에 환경, 심각도 및 사용 가능한 응답에 대한 새 필터가 있습니다.
연속 내보내기는 새 데이터 형식을 가져오고 향상된 deployifnotexist 정책을 가져옵니다.

컴퓨터의 AZURE Defender for SQL 서버는 일반적으로 사용할 수 있습니다.

Azure Security Center는 SQL Server에 대한 두 가지 Azure Defender 플랜을 제공합니다.

Azure SQL 데이터베이스 서버 용 Azure Defender - Azure 네이티브 SQL Server 방어
컴퓨터 의 SQL 서버용 Azure Defender - 하이브리드, 다중 클라우드 및 온-프레미스 환경에서 동일한 보호를 SQL 서버로 확장합니다.

이 공지를 통해 Azure Defender for SQL은 이제 데이터베이스와 해당 데이터가 어디에 있든 보호합니다.

AZURE Defender for SQL에는 취약성 평가 기능이 포함되어 있습니다. 취약성 평가 도구에는 다음과 같은 고급 기능이 포함되어 있습니다.

Baseline configuration (New!) to intelligently refine the results of vulnerability scans to those that might represent real security issues. 기준 보안 상태를 설정한 후 취약성 평가 도구는 해당 기준 상태의 편차만 보고합니다. 기준과 일치하는 결과는 후속 검색을 통과한 것으로 간주됩니다. 이를 통해 사용자와 분석가는 중요한 부분에 집중할 수 있습니다.
검색된 결과 및 리소스와 관련된 이유를 이해하는 데 도움이 되는 자세한 벤치마크 정보.
Remediation scripts to help you mitigate identified risks.

AZURE Defender for SQL에 대해 자세히 알아봅니다.

Azure Synapse Analytics 전용 SQL 풀에 대한 AZURE Defender for SQL 지원은 일반적으로 사용할 수 있습니다.

Azure Synapse Analytics(이전의 SQL DW)는 엔터프라이즈 데이터 웨어하우징과 빅 데이터 분석을 결합한 분석 서비스입니다. 전용 SQL 풀은 Azure Synapse의 엔터프라이즈 데이터 웨어하우징 기능입니다. Azure Synapse Analytics(이전의 SQL DW)란?에서 자세히 알아보세요.

AZURE Defender for SQL은 다음을 사용하여 전용 SQL 풀을 보호합니다.

위협 및 공격을 탐지하는 고급 위협 방지
보안 잘못된 구성을 식별하고 수정하는 취약성 평가 기능

Azure Synapse Analytics SQL 풀에 대한 AZURE Defender for SQL 지원은 Azure Security Center의 Azure SQL 데이터베이스 번들에 자동으로 추가됩니다. Azure Portal의 Synapse 작업 영역 페이지에 새 Azure Defender for SQL 탭이 있습니다.

AZURE Defender for SQL에 대해 자세히 알아봅니다.

전역 관리자는 이제 자신에게 테넌트 수준 권한을 부여할 수 있습니다.

A user with the Azure Active Directory role of Global Administrator might have tenant-wide responsibilities, but lack the Azure permissions to view that organization-wide information in Azure Security Center.

자신에게 테넌트 수준 권한을 할당하려면 테넌트 전체 사용 권한 부여의 지침을 따릅니다.

두 가지 새로운 Azure Defender 계획: DNS용 Azure Defender 및 Resource Manager용 Azure Defender(미리 보기)

Azure 환경에 대한 두 가지 새로운 클라우드 네이티브 폭 위협 방지 기능을 추가했습니다.

이러한 새로운 보호는 위협 행위자의 공격에 대한 복원력을 크게 향상시키고 Azure Defender로 보호되는 Azure 리소스의 수를 크게 증가시킵니다.

Azure Defender for Resource Manager - 조직에서 수행되는 모든 리소스 관리 작업을 자동으로 모니터링합니다. 자세한 내용은 다음을 참조하세요.
DNS 용 Azure Defender - Azure 리소스의 모든 DNS 쿼리를 지속적으로 모니터링합니다. 자세한 내용은 다음을 참조하세요.

Azure Portal의 새 보안 경고 페이지(미리 보기)

Azure Security Center의 보안 경고 페이지는 다음을 제공하도록 다시 디자인되었습니다.

경고 에 대한 심사 환경 개선 - 경고 피로를 줄이고 가장 관련성이 큰 위협에 더 쉽게 집중할 수 있도록 이 목록에는 사용자 지정 가능한 필터 및 그룹화 옵션이 포함되어 있습니다.
경고 목록 의 추가 정보(예: MITRE ATT&ACK 전술)
샘플 경고를 만드는 단추 - Azure Defender 기능을 평가하고 경고 구성(SIEM 통합, 메일 알림 및 워크플로 자동화용)을 테스트하려면 모든 Azure Defender 계획에서 샘플 경고를 만들 수 있습니다.
Azure Sentinel의 인시던트 환경 과 일치 - 두 제품을 모두 사용하는 고객을 위해 두 제품 간 전환은 이제 더 간단한 환경이며 다른 제품에서 쉽게 배울 수 있습니다.
Better performance for large alerts lists
Keyboard navigation through the alert list
Azure Resource Graph 의 경고 - 모든 리소스에 대한 Kusto와 유사한 API인 Azure Resource Graph에서 경고를 쿼리할 수 있습니다. 이는 자체 경고 대시보드를 빌드하는 경우에도 유용합니다. Azure Resource Graph에 대한 자세한 정보.

새 환경에 액세스하려면 보안 경고 페이지의 맨 위에 있는 배너에서 '지금 사용해 보기' 링크를 사용합니다.

새 경고 환경에서 샘플 경고를 만들려면 샘플 Azure Defender 경고 생성을 참조 하세요.

Azure SQL Database 및 SQL Managed Instance의 다시 활성화된 Security Center 환경

SQL 내의 Security Center 환경에서는 다음 Security Center 및 Azure Defender for SQL 기능에 액세스할 수 있습니다.

Security recommendations – Security Center periodically analyzes the security state of all connected Azure resources to identify potential security misconfigurations. 그런 다음 이러한 취약성을 수정하고 조직의 보안 상태를 개선하는 방법에 대한 권장 사항을 제공합니다.
Security alerts – a detection service that continuously monitors Azure SQL activities for threats such as SQL injection, brute-force attacks, and privilege abuse. 이 서비스는 Security Center에서 상세하고 작업 지향적인 보안 경고를 트리거하고 Microsoft의 Azure 네이티브 SIEM 솔루션인 Microsoft Sentinel을 사용하여 조사를 계속하기 위한 옵션을 제공합니다.
Findings – a vulnerability assessment service that continuously monitors Azure SQL configurations and helps remediate vulnerabilities. 평가 검사는 자세한 보안 결과와 함께 Azure SQL 보안 상태의 개요를 제공합니다.

Azure Security Center의 SQL 보안 기능은 Azure SQL 내에서 사용할 수 있습니다.

자산 인벤토리 도구 및 필터 업데이트됨

Azure Security Center의 인벤토리 페이지가 다음과 같이 변경되어 새로 고쳐집니다.

도구 모음에 추가된 가이드 및 피드백 입니다. 그러면 관련 정보 및 도구에 대한 링크가 있는 창이 열립니다.
Subscriptions filter added to the default filters available for your resources.
Open query link for opening the current filter options as an Azure Resource Graph query (formerly called "View in resource graph explorer").
Operator options for each filter. 이제 '=' 이외의 논리 연산자 중에서 선택할 수 있습니다. 예를 들어 타이틀에 'encrypt' 문자열이 포함된 활성 권장 사항이 있는 모든 리소스를 찾을 수 있습니다.

자산 인벤토리를 사용하여 리소스 탐색 및 관리의 인벤토리에 대해 자세히 알아봅니다.

SSL 인증서를 요청하는 웹앱에 대한 권장 사항은 더 이상 보안 점수의 일부가 아닙니다.

"웹앱에서 들어오는 모든 요청에 대해 SSL 인증서를 요청해야 함" 권장 사항은 보안 제어 액세스 및 권한 관리(최대 4pts 상당)에서 보안 모범 사례 구현(아무런 가치가 없음)으로 이동되었습니다.

웹앱이 인증서를 요청하도록 하면 확실히 더 안전해집니다. 그러나 공용 웹앱의 경우에는 관련이 없습니다. HTTP를 통해 사이트에 액세스하고 HTTPS를 통해서는 액세스하지 않는 경우 클라이언트 인증서가 제공되지 않습니다. 따라서 애플리케이션에 클라이언트 인증서가 필요한 경우 HTTP를 통한 애플리케이션 요청을 허용해서는 안 됩니다. Azure 앱 Service에 대한 TLS 상호 인증 구성에 대해 자세히 알아봅니다.

이러한 변경으로 권장 사항은 이제 점수에 영향을 주지 않는 권장 모범 사례가 됩니다.

보안 컨트롤의 각 보안 제어에 있는 권장 사항 및 권장 사항을 알아봅니다.

권장 사항 페이지에 환경, 심각도 및 사용 가능한 응답에 대한 새 필터가 있습니다.

Azure Security Center는 연결된 모든 리소스를 모니터링하고 보안 권장 사항을 생성합니다. 이러한 권장 사항을 사용하여 하이브리드 클라우드 상태를 강화하고 조직, 산업 및 국가/지역과 관련된 정책 및 표준 준수를 추적합니다.

Security Center가 범위와 기능을 계속 확장함에 따라 보안 권장 사항 목록이 매월 증가하고 있습니다. 예를 들어 Azure Security Benchmark의 적용 범위를 늘리기 위해 추가된 29개의 미리 보기 권장 사항을 참조하세요.

목록이 늘어나면 가장 관심 있는 항목을 찾기 위해 권장 사항을 필터링해야 합니다. 11월에는 권장 사항 페이지에 필터를 추가했습니다(이제 추천 목록에 필터가 포함됨 참조).

이번 달에 추가된 필터는 다음과 같이 권장 사항 목록을 구체화하는 옵션을 제공합니다.

Environment - View recommendations for your AWS, GCP, or Azure resources (or any combination)
Severity - View recommendations according to the severity classification set by Security Center
Response actions - View recommendations according to the availability of Security Center response options: Fix, Deny, and Enforce
Tip

응답 작업 필터는 사용 가능한 빠른 수정(예/아니요) 필터를 대체합니다.

이러한 각 응답 옵션에 대해 자세히 알아봅니다.
- Fix button
- 적용/거부 권장 사항을 사용하여 구성 오류 방지

연속 내보내기는 새 데이터 형식을 가져오고 향상된 deployifnotexist 정책을 가져옵니다.

Azure Security Center의 연속 내보내기 도구를 사용하여 환경의 다른 모니터링 도구와 함께 사용할 Security Center의 권장 사항 및 경고를 내보낼 수 있습니다.

연속 내보내기를 사용하면 내보낼 대상과 위치를 완전히 사용자 지정할 수 있습니다. 자세한 내용은 Security Center 데이터 연속 내보내기를 참조하세요.

이러한 도구는 다음과 같은 방법으로 향상되고 확장되었습니다.

연속 내보내기 deployifnotexist 정책이 향상되었습니다. 이제 정책은 다음과 같습니다.
- 구성이 사용하도록 설정되어 있는지 확인합니다. 그렇지 않은 경우 정책은 비준수로 표시되고 규격 리소스를 만듭니다. 지속적인 내보내기 설정의 "Azure Policy 탭을 사용하여 대규모 배포"에서 제공된 Azure Policy 템플릿에 대해 자세히 알아봅니다.
- 보안 결과 내보내기 지원 Azure Policy 템플릿을 사용하는 경우 검색 결과를 포함하도록 연속 내보내기를 구성할 수 있습니다. 이는 취약성 평가 스캐너의 결과 또는 '부모' 권장 사항에 대한 특정 시스템 업데이트와 같이 '하위' 권장 사항이 있는 권장 사항을 내보낼 때 관련이 있습니다.
- 보안 점수 데이터 내보내기 지원
규정 준수 평가 데이터가 추가되었습니다(미리 보기). 이제 사용자 지정 이니셔티브를 포함하여 규정 준수 평가에 대한 업데이트를 Log Analytics 작업 영역 또는 Event Hub로 지속적으로 내보낼 수 있습니다. 이 기능은 국가적인 클라우드에서 사용할 수 없습니다.

November 2020

11월의 업데이트는 다음과 같습니다.

Azure Security Benchmark의 적용 범위를 늘리기 위해 추가된 29개의 미리 보기 권장 사항
Security Center의 규정 준수 대시보드에 NIST SP 800 171 R2가 추가됨
이제 권장 사항 목록에 필터가 포함됩니다.
자동 프로비전 환경 개선 및 확장
보안 점수는 이제 연속 내보내기(미리 보기)에서 사용할 수 있습니다.
"시스템 업데이트가 컴퓨터에 설치되어 있어야 합니다." 권장 사항이 이제 하위 권장 사항을 포함합니다.
이제 Azure Portal의 정책 관리 페이지에 기본 정책 할당 상태가 표시됩니다.

Azure Security Benchmark의 적용 범위를 늘리기 위해 추가된 29개의 미리 보기 권장 사항

Azure Security Benchmark는 일반적인 규정 준수 프레임워크를 기반으로 하는 보안 및 규정 준수 모범 사례에 대한 Microsoft에서 작성한 Azure 관련 지침 집합입니다. Azure Security Benchmark에 대해 자세히 알아봅니다.

이 벤치마크의 적용 범위를 늘리기 위해 Security Center에 다음 29개의 미리 보기 권장 사항이 추가되었습니다.

Security control	New recommendations
전송 중인 데이터 암호화	- PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. - MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. - TLS를 최신 API 앱 버전으로 업데이트해야 합니다. - TLS를 함수 앱의 최신 버전으로 업데이트해야 합니다. - TLS를 웹앱의 최신 버전으로 업데이트해야 합니다. - API 앱에서 FTPS를 요구해야 합니다. - 함수 앱에서 FTPS를 요구해야 합니다. - 웹앱에 FTPS가 필요합니다.
액세스 및 권한 관리	- 웹앱은 들어오는 모든 요청에 대해 SSL 인증서를 요청해야 합니다. - API 앱에서 관리 ID를 사용해야 합니다. - 함수 앱에서 관리 ID를 사용해야 합니다. - 웹앱에서 관리 ID를 사용해야 합니다.
무단 네트워크 액세스 제한	- PostgreSQL 서버에 대해 프라이빗 엔드포인트를 사용하도록 설정해야 함 - MariaDB 서버에 대해 프라이빗 엔드포인트를 사용하도록 설정해야 함 - 프라이빗 엔드포인트를 MySQL 서버에서 사용할 수 있어야 합니다.
감사 및 로깅 사용	- App Services에서 진단 로그를 사용하도록 설정해야 합니다.
보안 모범 사례 구현	- Azure Backup을 가상 머신에 사용하도록 설정해야 합니다. - Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 함 - Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. - Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. - PHP를 API 앱의 최신 버전으로 업데이트해야 합니다. - PHP를 웹앱의 최신 버전으로 업데이트해야 합니다. - Java를 최신 API 앱 버전으로 업데이트해야 합니다. - Java를 최신 함수 앱 버전으로 업데이트해야 합니다. - Java를 웹앱의 최신 버전으로 업데이트해야 합니다. - Python을 최신 API 앱 버전으로 업데이트해야 합니다. - Python을 함수 앱의 최신 버전으로 업데이트해야 합니다. - Python을 최신 웹앱 버전으로 업데이트해야 합니다. - SQL 서버에 대한 감사 보존 기간을 90일 이상으로 설정해야 합니다.

Security Center의 규정 준수 대시보드에 NIST SP 800 171 R2가 추가됨

NIST SP 800-171 R2 표준은 이제 Azure Security Center의 규정 준수 대시보드에서 사용하기 위한 기본 제공 이니셔티브로 사용할 수 있습니다. 제어에 대한 매핑은 NIST SP 800-171 R2 규정 준수 기본 제공 이니셔티브의 세부 정보에 설명되어 있습니다.

표준을 구독에 적용하고 규정 준수 상태를 지속적으로 모니터링하려면 규정 준수 대시보드의 표준 집합 사용자 지정의 지침을 사용합니다.

Security Center 규정 준수 대시보드의 NIST SP 800 171 R2 표준

이 규정 준수 표준에 대한 자세한 내용은 NIST SP 800-171 R2를 참조하세요.

이제 권장 사항 목록에 필터가 포함됩니다.

이제 일련의 조건에 따라 보안 추천 목록을 필터링할 수 있습니다. 다음 예제에서는 권장 사항 목록을 필터링하여 다음과 같은 권장 사항을 표시합니다.

are generally available (that is, not preview)
are for storage accounts
support quick fix remediation

권장 사항 목록에 대한 필터입니다.

자동 프로비전 환경 개선 및 확장

자동 프로비전 기능은 Security Center의 보호를 활용할 수 있도록 필요한 확장을 신규 및 기존 Azure VM에 설치하여 관리 오버헤드를 줄이는 데 도움이 됩니다.

Azure Security Center가 증가함에 따라 더 많은 확장이 개발되었으며 Security Center는 더 큰 리소스 종류 목록을 모니터링할 수 있습니다. 이제 Azure Policy의 기능을 활용하여 다른 확장 및 리소스 유형을 지원하도록 자동 프로비전 도구가 확장되었습니다.

이제 다음의 자동 프로비전을 구성할 수 있습니다.

Log Analytics 에이전트
(신규) Kubernetes용 Azure Policy
(신규) Microsoft Dependency Agent

Azure Security Center의 에이전트 및 확장 자동 프로비전에 대해 자세히 알아봅니다.

보안 점수는 이제 연속 내보내기(미리 보기)에서 사용할 수 있습니다.

보안 점수의 연속 내보내기를 사용하면 실시간으로 점수 변경 내용을 Azure Event Hubs 또는 Log Analytics 작업 영역으로 스트리밍할 수 있습니다. 이 기능을 사용하여 다음을 수행합니다.

동적 보고서로 시간 경과에 따른 보안 점수 추적
Microsoft Sentinel(또는 다른 SIEM)으로 보안 점수 데이터 내보내기
이 데이터를 조직에서 보안 점수를 모니터링하는 데 이미 사용하고 있을 수 있는 프로세스와 통합

Security Center 데이터를 지속적으로 내보내는 방법에 대해 자세히 알아봅니다.

"시스템 업데이트가 컴퓨터에 설치되어 있어야 합니다." 권장 사항이 이제 하위 권장 사항을 포함합니다.

시스템 업데이트는 컴퓨터 권장 사항에 설치해야 합니다. 새 버전에는 누락된 각 업데이트에 대한 하위 커밋이 포함되어 있으며 다음과 같은 향상된 기능이 제공됩니다.

Azure Portal의 Azure Security Center 페이지에서 새롭게 디자인된 환경입니다. 시스템 업데이트는 머신에 설치되어야 합니다에 대한 권장 사항 세부 정보 페이지에는 아래와 같은 결과 목록이 포함되어 있습니다. 단일 찾기를 선택하면 수정 정보에 대한 링크와 영향을 받는 리소스 목록이 포함된 세부 정보 창이 열립니다.
ARG(Azure Resource Graph)의 권장 사항에 대한 보강된 데이터입니다. ARG는 효율적인 리소스 탐색을 제공하도록 설계된 Azure 서비스입니다. ARG를 사용하여 사용자 환경을 효과적으로 관리할 수 있도록 지정된 구독 세트에서 대규모로 쿼리할 수 있습니다.

Azure Security Center의 경우 ARG 및 KQL(Kusto 쿼리 언어)을 사용하여 광범위한 보안 상태 데이터를 쿼리할 수 있습니다.

이전에는 ARG에서 이 권장 사항을 쿼리한 경우 권장 사항을 머신에서 수정해야 한다는 정보만 제공되었습니다. 향상된 버전의 다음 쿼리는 누락된 각 시스템 업데이트를 머신별로 그룹화하여 반환합니다.
```
securityresources
| where type =~ "microsoft.security/assessments/subassessments"
| where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
| where properties.status.code == "Unhealthy"
```

이제 Azure Portal의 정책 관리 페이지에 기본 정책 할당 상태가 표시됩니다.

You can now see whether or not your subscriptions have the default Security Center policy assigned, in the Security Center's security policy page of the Azure portal.

기본 정책 할당을 보여 주는 Azure Security Center의 정책 관리 페이지입니다.

October 2020

10월의 업데이트는 다음과 같습니다.

온-프레미스 및 다중 클라우드 머신의 취약성 평가(미리 보기)
Azure Firewall 권장 사항이 추가됨(미리 보기)
인증된 IP 범위는 빠른 수정으로 업데이트된 Kubernetes Services 권장 사항에 정의되어야 합니다.
이제 규정 준수 대시보드에 표준을 제거하는 옵션이 포함되어 있습니다.
Azure Resource Graph에서 제거된 Microsoft.Security/securityStatuses 테이블

온-프레미스 및 다중 클라우드 머신의 취약성 평가(미리 보기)

서버용 Azure Defender의 통합 취약성 평가 스캐너(Qualys 기반)는 이제 Azure Arc 사용 서버를 검색합니다.

비 Azure 머신에서 Azure Arc를 사용하도록 설정한 경우 Security Center는 통합 취약성 스캐너를 수동으로 대규모로 배포할 수 있습니다.

이번 업데이트를 통해 모든 Azure 및 비-Azure 자산의 취약성 관리 프로그램을 통합하는 서버용 Azure Defender의 강력한 성능을 발휘할 수 있습니다.

Main capabilities:

Azure Arc 머신의 VA(취약성 평가) 스캐너 프로비저닝 상태 모니터링
보호되지 않는 Windows 및 Linux Azure Arc 머신에 통합 VA 에이전트 프로비전(수동 및 대규모)
배포된 에이전트에서 탐지된 취약성 수신 및 분석(수동 및 대규모로)
Azure VM 및 Azure Arc 머신에 대한 통합 환경

하이브리드 컴퓨터에 통합 Qualys 취약성 스캐너 배포에 대해 자세히 알아보세요.

Azure Arc 지원 서버에 대해 자세히 알아보세요.

Azure Firewall 권장 사항 추가(미리 보기)

Azure Firewall을 사용하여 모든 가상 네트워크를 보호하기 위한 새로운 권장 사항이 추가되었습니다.

가상 네트워크는 Azure Firewall로 보호해야 합니다 권장 사항은 Azure Firewall을 사용하여 가상 네트워크에 대한 액세스를 제한하고 잠재적 위협을 차단할 것을 조언합니다.

Learn more about Azure Firewall.

인증된 IP 범위는 빠른 수정으로 업데이트된 Kubernetes Services 권장 사항에 정의되어야 합니다.

Kubernetes Services에서 권장 권한 있는 IP 범위를 정의해야 합니다. 이제 빠른 수정 옵션이 제공됩니다.

빠른 픽스 옵션을 제공하는 [Kubernetes 서비스에서 권한 있는 IP 범위를 정의해야 함] 권장 사항

이제 규정 준수 대시보드에 표준을 제거하는 옵션이 포함되어 있습니다.

Security Center의 규정 준수 대시보드는 특정 규정 준수 제어 및 요구 사항을 충족하는 방법에 따라 규정 준수 상태에 대한 인사이트를 제공합니다.

대시보드에는 기본 규정 표준 집합이 포함되어 있습니다. 제공된 표준이 조직과 관련이 없는 경우 이제 구독에 대한 UI에서 이를 제거하는 간단한 프로세스입니다. Standards can be removed only at the subscription level; not the management group scope.

대시보드에서 표준 제거에 대해 자세히 알아보세요.

ARG(Azure Resource Graph)에서 Microsoft.Security/securityStatuses 테이블이 제거됨

Azure Resource Graph는 환경을 효과적으로 제어할 수 있도록 지정된 구독 집합에서 대규모로 쿼리할 수 있는 기능을 통해 효율적인 리소스 탐색을 제공하도록 설계된 Azure의 서비스입니다.

Azure Security Center의 경우 ARG 및 KQL(Kusto 쿼리 언어)을 사용하여 광범위한 보안 상태 데이터를 쿼리할 수 있습니다. For example:

자산 인벤토리가 ARG를 활용합니다.
MFA(다단계 인증)를 사용하지 않고 계정을 식별하는 방법에 대한 샘플 ARG 쿼리가 문서로 준비되어 있습니다.

ARG 내에는 쿼리에서 사용할 수 있는 데이터 테이블이 있습니다.

Azure Resource Graph Explorer 및 사용 가능한 테이블.

Tip

ARG 설명서에는 Azure Resource Graph 테이블 및 리소스 종류 참조에서 사용 가능한 모든 테이블이 나열되어 있습니다.

From this update, the Microsoft.Security/securityStatuses table was removed. securityStatuses API는 여전히 사용할 수 있습니다.

Microsoft.Security/Assessments 테이블에서 데이터 대체를 사용할 수 있습니다.

Microsoft.Security/securityStatuses와 Microsoft.Security/Assessments의 주요 차이점은 첫 번째 평가 집계가 표시되지만 초는 각각에 대해 단일 레코드를 보유한다는 것입니다.

예를 들어 Microsoft.Security/securityStatuses는 다음 두 policyAssessments 배열을 사용하여 결과를 반환합니다.

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

반면 Microsoft.Security/Assessments는 다음과 같이 각 정책 평가에 대한 레코드를 보유합니다.

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

securityStatuses를 사용하여 기존 ARG 쿼리를 변환하여 평가 테이블을 사용하는 예제:

SecurityStatuses를 참조하는 쿼리:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

평가 테이블에 대한 대체 쿼리:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

다음 링크에서 자세히 알아보세요.

September 2020

9월 업데이트는 다음과 같습니다.

Security Center가 새로운 모습으로 바뀌었습니다!
Azure Defender 릴리스됨
Azure Defender for Key Vault는 일반적으로 사용할 수 있습니다.
파일 및 ADLS Gen2에 대한 Azure Defender for Storage 보호는 일반적으로 사용할 수 있습니다.
이제 자산 인벤토리 도구를 일반 공급
컨테이너 레지스트리 및 가상 머신의 검색에 대한 특정 취약성 찾기 사용 안 함
권장 사항에서 리소스 제외
Security Center의 AWS 및 GCP 커넥터에서 다중 클라우드 환경을 제공함
Kubernetes 워크로드 보호 권장 사항 번들
이제 취약성 평가 결과를 연속 내보내기에서 사용할 수 있음
새 리소스를 만들 때 권장 사항을 적용하여 보안 잘못된 구성 방지
향상된 네트워크 보안 그룹 권장 사항
사용되지 않는 미리 보기 AKS 권장 사항 "Kubernetes Services에서 Pod 보안 정책을 정의해야 함"
Azure Security Center의 이메일 알림이 개선됨
보안 점수에는 미리 보기 권장 사항이 포함되지 않습니다.
이제 추천 사항에 심각도 표시기 및 새로 고침 간격이 포함됨

Security Center가 새로운 모습으로 바뀌었습니다.

Security Center의 포털 페이지에 대해 새로 고친 UI를 릴리스했습니다. 새 페이지에는 보안 점수, 자산 인벤토리 및 Azure Defender에 대한 새 개요 페이지와 대시보드가 포함됩니다.

이제 다시 디자인된 개요 페이지에 보안 점수, 자산 인벤토리 및 Azure Defender 대시보드에 액세스하기 위한 타일이 있습니다. 또한 규정 준수 대시보드에 연결되는 타일이 있습니다.

Learn more about the overview page.

Azure Defender 릴리스됨

Azure Defender is the cloud workload protection platform (CWPP) integrated within Security Center for advanced, intelligent, protection of your Azure and hybrid workloads. Security Center의 표준 가격 책정 계층 옵션을 대체합니다.

Azure Security Center의 가격 책정 및 설정 영역에서 Azure Defender를 사용하도록 설정하면 다음 Defender 플랜이 동시에 사용되어 환경의 컴퓨팅, 데이터 및 서비스 계층에 대한 포괄적인 방어 기능을 제공합니다.

각 플랜은 Security Center 설명서에 별도로 설명되어 있습니다.

Azure Defender는 전용 대시보드를 사용하여 가상 머신, SQL 데이터베이스, 컨테이너, 웹 애플리케이션, 네트워크 등에 대한 보안 경고 및 고급 위협 방지 기능을 제공합니다.

Azure Defender에 대해 자세히 알아보기

Azure Defender for Key Vault는 일반적으로 사용할 수 있습니다.

Azure Key Vault는 암호화 키와 비밀(예: 인증서, 연결 문자열 및 암호)을 보호하는 클라우드 서비스입니다.

Azure Defender for Key Vault는 Azure Key Vault 에 대한 Azure 네이티브 고급 위협 방지를 제공하여 추가 보안 인텔리전스 계층을 제공합니다. 확장적으로 Key Vault용 Azure Defender는 결과적으로 Key Vault 계정에 종속된 많은 리소스를 보호합니다.

선택적 계획은 이제 GA입니다. 이 기능은 "Azure Key Vault에 대한 고급 위협 방지"로 미리 보기로 제공됩니다.

Also, the Key Vault pages in the Azure portal now include a dedicated Security page for Security Center recommendations and alerts.

Key Vault용 Azure Defender에서 자세히 알아보세요.

파일 및 ADLS Gen2에 대한 Azure Defender for Storage 보호는 일반적으로 사용할 수 있습니다.

Storage용 Azure Defender는 Azure Storage 계정에서 잠재적으로 유해한 활동을 탐지합니다. Blob 컨테이너, 파일 공유 또는 데이터 레이크로 저장되든 데이터를 보호할 수 있습니다.

Support for Azure Files and Azure Data Lake Storage Gen2 is now generally available.

2020년 10월 1일부터 이러한 서비스에 대한 리소스 보호에 대한 요금을 청구하기 시작합니다.

스토리지용 Azure Defender에서 자세히 알아봅니다.

이제 자산 인벤토리 도구를 일반 공급

Azure Security Center의 자산 인벤토리 페이지는 Security Center에 연결한 리소스의 보안 상태를 보기 위한 단일 페이지를 제공합니다.

Security Center는 Azure 리소스의 보안 상태를 주기적으로 분석하여 잠재적인 보안 취약성을 식별합니다. 그런 다음, 이러한 취약성을 수정하는 방법에 대한 추천 사항을 제공합니다.

리소스에 수정되지 않은 추천 사항이 있으면 인벤토리에 표시됩니다.

자산 인벤토리를 사용하여 리소스 탐색 및 관리에 대해 자세히 알아보세요.

컨테이너 레지스트리 및 가상 머신의 검색에 대한 특정 취약성 찾기 사용 안 함

Azure Defender에는 Azure Container Registry 및 가상 머신의 이미지를 검사하는 취약성 스캐너가 포함되어 있습니다.

결과가 사용 안 함 규칙에 정의한 조건과 일치하면 검색 결과 목록에 표시되지 않습니다.

이 옵션은 다음의 권장 사항 세부 정보 페이지에서 사용할 수 있습니다.

Azure Container Registry 이미지의 취약성을 수정해야 합니다.
가상 머신의 취약성을 수정해야 함

권장 사항에서 리소스 제외

경우에 따라 리소스가 특정 권장 사항(따라서 보안 점수 낮추기)과 관련하여 비정상으로 나열됩니다. Security Center에서 추적하지 않는 프로세스에 의해 수정되었을 수 있습니다. 또는 조직에서 해당 특정 리소스에 대한 위험을 수락하기로 결정했습니다.

이러한 경우 예외 규칙을 만들고 나중에 비정상 리소스 사이에 리소스가 나열되지 않도록 할 수 있습니다. 이러한 규칙에는 아래에서 설명한 대로 문서화된 근거가 포함될 수 있습니다.

권장 사항 및 보안 점수에서 리소스 제외에 대해 자세히 알아보세요.

Security Center의 AWS 및 GCP 커넥터에서 다중 클라우드 환경을 제공함

클라우드 워크로드가 일반적으로 여러 클라우드 플랫폼에 걸쳐 있는 경우 클라우드 보안 서비스도 동일한 작업을 수행해야 합니다.

Azure Security Center는 이제 Azure, AWS(Amazon Web Services) 및 GCP(Google Cloud Platform)에서 워크로드를 보호합니다.

AWS 및 GCP 프로젝트를 Security Center에 온보딩하면 AWS Security Hub, GCP Security Command 및 Azure Security Center가 통합됩니다.

Azure Security Center에 AWS 계정 연결 및 Azure Security Center에 GCP 프로젝트 연결에서 자세히 알아보세요.

Kubernetes 워크로드 보호 권장 사항 번들

Kubernetes 워크로드가 기본적으로 안전한지 확인하기 위해 Security Center는 Kubernetes 허용 제어를 사용하는 적용 옵션을 포함하여 Kubernetes 수준 강화 권장 사항을 추가하고 있습니다.

AKS 클러스터에 Kubernetes용 Azure Policy를 설치한 경우 Kubernetes API 서버에 대한 모든 요청은 클러스터에 유지되기 전에 미리 정의된 모범 사례 집합에 대해 모니터링됩니다. 그런 다음, 모범 사례를 적용하고 향후 워크로드에 대해 위임하도록 구성할 수 있습니다.

예를 들어 권한 있는 컨테이너를 만들지 않도록 위임할 수 있습니다. 그러면, 이러한 작업에 대한 이후의 모든 요청이 차단됩니다.

Kubernetes 허용 제어를 사용하는 워크로드 보호 모범 사례에 대해 자세히 알아보세요.

이제 취약성 평가 결과를 연속 내보내기에서 사용할 수 있음

연속 내보내기를 사용하여 경고 및 권장 사항을 Azure Event Hubs, Log Analytics 작업 영역 또는 Azure Monitor로 스트리밍합니다. 여기에서 Microsoft Sentinel, Power BI, Azure Data Explorer 등과 같은 SIEM과 이 데이터를 통합할 수 있습니다.

Security Center의 통합 취약성 평가 도구는 "가상 머신의 취약성을 수정해야 함"과 같은 '부모' 추천 사항 내에서 리소스에 대한 결과를 실행 가능한 추천 사항으로 반환합니다.

이제 추천 사항을 선택하고 보안 결과 포함 옵션을 사용하도록 설정하면 연속 내보내기를 통해 보안 결과를 내보낼 수 있습니다.

연속 내보내기 구성의 보안 결과 포함 설정/해제

새 리소스를 만들 때 추천 사항을 적용하여 보안 구성 오류 방지

보안 구성 오류는 보안 인시던트의 주요 원인입니다. Security Center now has the ability to help prevent misconfigurations of new resources with regard to specific recommendations.

이 기능을 통해 워크로드를 안전하게 유지하고 보안 점수를 안정화할 수 있습니다.

다음 두 가지 모드에서 특정 권장 사항에 따라 보안 구성을 적용할 수 있습니다.

Azure Policy의 거부 모드를 사용하여 비정상 리소스가 만들어지는 것을 중지할 수 있습니다.
Using the enforced option, you can take advantage of Azure Policy's DeployIfNotExist effect and automatically remediate non-compliant resources upon creation

이는 선택한 보안 권장 사항에 사용할 수 있으며 리소스 세부 정보 페이지의 맨 위에서 찾을 수 있습니다.

적용/거부 추천 사항을 사용하여 구성 오류 방지에서 자세히 알아보세요.

향상된 네트워크 보안 그룹 권장 사항

일부 가양성 인스턴스를 줄이기 위해 네트워크 보안 그룹과 관련된 다음과 같은 보안 권장 사항이 개선되었습니다.

VM에 연결된 NSG에서 모든 네트워크 포트를 제한해야 합니다.
가상 머신에서 관리 포트를 닫아야 합니다.
인터넷 연결 가상 머신은 네트워크 보안 그룹과 함께 보호되어야 합니다.
서브넷을 네트워크 보안 그룹과 연결해야 합니다.

사용되지 않는 미리 보기 AKS 권장 사항 "Kubernetes Services에서 Pod 보안 정책을 정의해야 함"

Azure Kubernetes Service 설명서에 설명된 대로 미리 보기 권장 사항 "Pod 보안 정책을 Kubernetes Services에 정의해야 함"은 더 이상 사용되지 않습니다.

Pod 보안 정책(미리 보기) 기능은 더 이상 사용하지 않도록 설정되며, AKS에 대한 Azure Policy에 따라 2020년 10월 15일 이후에는 더 이상 사용할 수 없습니다.

Pod 보안 정책(미리 보기)이 더 이상 사용되지 않는 경우 향후 클러스터 업그레이드를 수행하고 Azure 지원을 유지하려면 더 이상 사용되지 않는 기능을 사용하여 기존 클러스터에서 이 기능을 사용하지 않도록 설정해야 합니다.

Azure Security Center의 이메일 알림이 향상됨

보안 경고와 관련된 이메일의 다음 영역이 개선되었습니다.

모든 심각도 수준에 대한 경고에 대한 메일 알림 보낼 수 있는 기능이 추가되었습니다.
구독에서 다른 Azure 역할을 가진 사용자에게 알릴 수 있는 기능이 추가되었습니다.
심각도가 높은 경고(진짜 위반일 가능성이 높음)는 기본적으로 구독 소유자에게 사전에 알려줍니다.
이메일 알림 구성 페이지에서 전화 번호 필드가 제거되었습니다.

보안 경고에 대한 메일 알림 설정에서 자세히 알아보세요.

보안 점수에는 미리 보기 권장 사항이 포함되지 않습니다.

Security Center는 리소스, 구독 및 조직의 보안 이슈를 지속적으로 평가합니다. 그런 다음, 현재 보안 상황을 한눈에 파악할 수 있도록 모든 결과를 단일 점수에 집계합니다. 즉, 점수가 높을수록 식별된 위험 수준은 낮습니다.

새 위협이 발견되면 Security Center에서 새 추천 사항을 통해 새로운 보안 제안이 제공됩니다. To avoid surprise changes your secure score, and to provide a grace period in which you can explore new recommendations before they impact your scores, recommendations flagged as Preview are no longer included in the calculations of your secure score. 미리 보기 기간이 종료되면 점수에 기여할 수 있도록 가능한 경우 언제든지 수정해야 합니다.

Also, Preview recommendations don't render a resource "Unhealthy".

미리 보기 권장 사항의 예:

미리 보기 플래그가 있는 권장 사항

보안 점수에 대해 자세히 알아봅니다.

이제 추천 사항에 심각도 표시기 및 새로 고침 간격이 포함됨

권장 사항에 대한 세부 정보 페이지에는 이제 새로 고침 간격 표시기(관련되는 경우)와 권장 사항의 심각도를 명확하게 표시합니다.

새고 고침 및 심각도를 보여 주는 추천 사항 페이지

August 2020

8월의 업데이트는 다음과 같습니다.

더 강력해진 기능을 활용하여 자산의 보안 상태를 보여주는 자산 인벤토리
Azure Active Directory 보안 기본값에 대한 지원(다단계 인증용)이 추가됨
서비스 주체 권장 사항이 추가됨
권장 사항과 정책을 통합하여 VM에 대한 취약성 평가
ASC_default 이니셔티브에 추가된 새로운 AKS 보안 정책

더 강력해진 기능을 활용하여 자산의 보안 상태를 보여주는 자산 인벤토리

Security Center의 자산 인벤토리(현재 미리 보기 상태)는 Security Center에 연결한 리소스의 보안 상태를 확인할 수 있는 방법을 제공합니다.

Security Center는 Azure 리소스의 보안 상태를 주기적으로 분석하여 잠재적인 보안 취약성을 식별합니다. 그런 다음, 이러한 취약성을 수정하는 방법에 대한 추천 사항을 제공합니다. 리소스에 수정되지 않은 추천 사항이 있으면 인벤토리에 표시됩니다.

보기 및 해당 필터를 사용하여 보안 상태 데이터를 검색하고 결과에 따라 추가 작업을 수행할 수 있습니다.

Learn more about asset inventory.

Azure Active Directory 보안 기본값에 대한 지원(다단계 인증용)이 추가됨

Security Center has added full support for security defaults, Microsoft's free identity security protections.

보안 기본값은 일반적인 ID 관련 공격으로부터 조직을 보호하기 위해 미리 구성된 ID 보안 설정을 제공합니다. 보안 기본값은 이미 전체 5백만 개 이상의 테넌트 보호입니다. 50,000개의 테넌트도 Security Center로 보호됩니다.

Security Center는 이제 보안 기본값을 사용하지 않고 Azure 구독을 식별할 때마다 보안 권장 사항을 제공합니다. 지금까지 Security Center는 AD(Azure Active Directory) Premium 라이선스의 일부인 조건부 액세스를 사용하는 다단계 인증을 사용하도록 추천했습니다. Azure AD를 무료로 사용하는 고객의 경우 이제 보안 기본값을 사용하도록 설정하는 것이 좋습니다.

Our goal is to encourage more customers to secure their cloud environments with MFA, and mitigate one of the highest risks that is also the most impactful to your secure score.

Learn more about security defaults.

서비스 주체 권장 사항이 추가됨

관리 인증서를 사용하여 구독을 관리하는 Security Center 고객이 서비스 주체로 전환하는 것이 좋습니다.

권장 사항인 서비스 주체는 관리 인증서 대신 구독을 보호하는 데 사용되어야 하며 , 서비스 주체 또는 Azure Resource Manager를 사용하여 구독을 보다 안전하게 관리하도록 권고합니다.

Azure Active Directory의 애플리케이션 및 서비스 주체 개체에 대해 자세히 알아보세요.

VM에 대한 취약성 평가 - 추천 사항과 정책이 통합됨

Security Center는 VM을 검사하여 취약성 평가 솔루션을 실행하고 있는지 여부를 검색합니다. 취약성 평가 솔루션을 찾을 수 없는 경우 Security Center는 배포를 간소화하기 위한 권장 사항을 제공합니다.

취약성이 발견되면 Security Center는 필요에 따라 조사 및 수정할 수 있는 결과를 요약한 권장 사항을 제공합니다.

사용하는 스캐너 유형에 관계없이 모든 사용자에게 일관된 환경을 보장하기 위해 4가지 추천 사항이 다음 2가지 추천 사항으로 통합되었습니다.

Unified recommendation	Change description
취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함	다음 두 가지 추천 사항을 대체합니다. 가상 머신에서 기본 제공 취약성 평가 솔루션 사용(Qualys(현재 사용되지 않음)(표준 계층에 포함) 취약성 평가 솔루션은 가상 머신에 설치해야 합니다(현재 사용되지 않음)(표준 및 무료 계층)
가상 머신의 취약성을 수정해야 함	다음 두 가지 추천 사항을 대체합니다. 가상 머신에서 발견된 취약성 수정(Qualys에서 구동) (현재 사용되지 않음) 취약성 평가 솔루션(현재는 사용되지 않음)을 통해 취약성을 수정해야 합니다.

이제 동일한 권장 사항을 사용하여 Qualys 또는 Rapid 7과 같은 파트너로부터 Security Center의 취약성 평가 확장 또는 프라이빗 라이선스 솔루션("BYOL")을 배포합니다.

또한 취약성이 발견되어 Security Center에 보고되면 단일 권장 사항은 취약성 평가 솔루션을 식별한 것과 관계없이 결과를 경고합니다.

Updating dependencies

이전 권장 사항 또는 정책 키/이름을 참조하는 스크립트, 쿼리 또는 자동화가 있는 경우 아래 표를 사용하여 참조를 업데이트합니다.

2020년 8월 이전

Recommendation	Scope
가상 머신에서 기본 제공 취약성 평가 솔루션 사용(Qualys 기반) Key: 550e890b-e652-4d22-8274-60b3bdb24c63	Built-in
가상 머신에서 발견한 취약성 수정(Qualys 제공) Key: 1195afff-c881-495e-9bc5-1486211ae03f	Built-in
가상 머신에 취약성 평가 솔루션을 설치해야 함 Key: 01b1ed4c-b733-4fee-b145-f23236e70cf3	BYOL
취약성 평가 솔루션에서 취약성을 수정해야 합니다. Key: 71992a2a-d168-42e0-b10e-6b45fa2ecddb	BYOL

Policy	Scope
가상 머신에서 취약성 평가를 사용하도록 설정해야 함 정책 ID: 501541f7-f7e7-4cd6-868c-4190fdad3ac9	Built-in
취약성 평가 솔루션으로 취약성을 수정해야 함 정책 ID: 760a85ff-6162-42b3-8d70-698e268f648c	BYOL

2020년 8월부터

Recommendation	Scope
취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 Key: ffff0522-1e88-47fc-8382-2a80ba848f5d	기본 제공 + BYOL
가상 머신의 취약성을 수정해야 함 Key: 1195afff-c881-495e-9bc5-1486211ae03f	기본 제공 + BYOL

Policy	Scope
가상 머신에서 취약성 평가를 사용하도록 설정해야 함 정책 ID: 501541f7-f7e7-4cd6-868c-4190fdad3ac9	기본 제공 + BYOL

ASC_default 이니셔티브에 추가된 새로운 AKS 보안 정책

Kubernetes 워크로드에서 기본적으로 보안을 유지할 수 있도록 하기 위해 Security Center에서 Kubernetes 허용 제어를 사용하는 적용 옵션을 포함하여 Kubernetes 수준 정책 보안 강화 추천 사항을 추가합니다.

이 프로젝트의 초기 단계에는 미리 보기 및 ASC_default 이니셔티브에 새(기본적으로 사용하지 않도록 설정) 정책이 추가됩니다.

이러한 정책은 무시해도 되지만 환경에는 영향을 주지 않습니다. 이러한 정책을 사용하도록 설정하려면 Microsoft Cloud Security Private Community를 통해 미리 보기에 등록하고 다음 옵션 중에서 선택합니다.

Single Preview – To join only this preview. 조인하려는 미리 보기로 "ASC 연속 검사"를 명시적으로 언급합니다.
Ongoing Program – To be added to this and future previews. 프로필 및 개인 정보 계약을 완료해야 합니다.

July 2020

7월 업데이트는 다음과 같습니다.

이제 마켓플레이스에 없는 이미지에 가상 머신에 대한 취약성 평가를 사용할 수 있습니다.
Azure Files 및 Azure Data Lake Storage Gen2(미리 보기)를 포함하도록 Azure Storage에 대한 위협 방지가 확장됨
위협 방지 기능을 사용하도록 설정하는 8가지 새로운 권장 사항
컨테이너 보안 개선 사항 - 더 빨라진 레지스트리 검사 및 새로워진 설명서
적응형 애플리케이션 제어가 새 추천 사항 및 경로 규칙의 와일드카드 지원으로 업데이트됨
SQL 고급 데이터 보안에 대한 6가지 정책이 사용되지 않음

이제 비 Marketplace 이미지에 가상 머신에 대한 취약성 평가 사용 가능

취약성 평가 솔루션을 배포한 경우 Security Center는 이전에 배포 전에 유효성 검사를 수행했습니다. 대상 가상 머신의 마켓플레이스 SKU를 확인하는 것이 확인되었습니다.

이 업데이트에서 검사가 제거되고 이제 취약성 평가 도구를 '사용자 지정' Windows 및 Linux 머신에 배포할 수 있습니다. 사용자 지정 이미지는 마켓플레이스 기본값에서 수정한 이미지입니다.

이제 더 많은 컴퓨터에 통합 취약성 평가 확장(Qualys로 구동)을 배포할 수 있지만 통합 취약성 검사기를 표준 계층 VM에 배포에 나열된 OS를 사용하는 경우에만 지원을 사용할 수 있습니다.

가상 머신에 대한 통합 취약성 스캐너(Azure Defender 필요)에 대해 자세히 알아봅니다.

Qualys에서 개인 라이선스 취약성 평가 솔루션을 사용하거나 Rapid7파트너 취약성 검사 솔루션을 배포하는 방법에 대해 자세히 알아봅니다.

Azure Files 및 Azure Data Lake Storage Gen2(미리 보기)를 포함하도록 Azure Storage에 대한 위협 방지가 확장됨

Azure Storage에 대한 위협 방지는 Azure Storage 계정에서 잠재적으로 유해한 활동을 탐지합니다. Security Center는 스토리지 계정에 액세스하거나 악용하려는 시도를 감지할 때 경고를 표시합니다.

Blob 컨테이너, 파일 공유 또는 데이터 레이크로 저장되든 데이터를 보호할 수 있습니다.

위협 방지 기능을 사용하도록 설정하는 8가지 새로운 권장 사항

가상 머신, App Service 계획, Azure SQL Database 서버, 머신의 SQL 서버, Azure Storage 계정, Azure Kubernetes Service 클러스터, Azure Container Registry 레지스트리 및 Azure Key Vault 자격 증명 모음과 같은 리소스 종류에 대해 Azure Security Center의 위협 방지 기능을 사용하도록 설정하는 간단한 방법을 제공하기 위해 8개의 새로운 권장 사항이 추가되었습니다.

새 추천 사항은 다음과 같습니다.

Azure SQL Database 서버에서 Advanced Data Security를 사용하도록 설정해야 함
머신의 SQL 서버에서 Advanced Data Security를 사용하도록 설정해야 함
Azure 앱 Service 계획에서 고급 위협 방지를 사용하도록 설정해야 함
Azure Container Registry 레지스트리에서 고급 위협 방지를 사용하도록 설정해야 합니다.
Azure Key Vault 자격 증명 모음에서 고급 위협 방지를 사용하도록 설정해야 함
Azure Kubernetes Service 클러스터에서 고급 위협 방지를 사용하도록 설정해야 함
Azure Storage 계정에서 고급 위협 방지를 사용하도록 설정해야 함
가상 머신에서 고급 위협 방지를 사용하도록 설정해야 함

추천 사항에는 빠른 수정 기능도 포함됩니다.

Important

이러한 추천 사항 중 하나를 수정하면 관련 리소스를 보호하는 데 드는 요금이 청구됩니다. 이러한 요금은 현재 구독에 관련 리소스가 있는 경우 즉시 시작됩니다. 또는 나중에 추가하는 경우가 있습니다.

예를 들어 구독에 Azure Kubernetes Service 클러스터가 없고 위협 방지를 사용하도록 설정한 경우 요금이 부과되지 않습니다. 나중에 동일한 구독에 클러스터를 추가하면 클러스터가 자동으로 보호되고 요금이 해당 시점에 시작됩니다.

Azure Security Center의 위협 방지에 대해 자세히 알아봅니다.

컨테이너 보안 개선 사항 - 더 빨라진 레지스트리 검사 및 새로워진 설명서

컨테이너 보안 도메인에 대한 지속적인 투자의 일환으로 Azure Container Registry에 저장된 컨테이너 이미지에 대한 Security Center의 동적 검색에서 상당한 성능 향상을 공유하게 되어 기쁩니다. 이제 검사는 일반적으로 약 2분 후에 완료됩니다. 경우에 따라 최대 15분이 걸릴 수 있습니다.

Azure Security Center의 컨테이너 보안 기능에 대한 명확성과 지침을 개선하기 위해 컨테이너 보안 설명서 페이지도 새로 고쳐 보았습니다.

적응형 애플리케이션 제어가 새 추천 사항 및 경로 규칙의 와일드카드 지원으로 업데이트됨

적응형 애플리케이션 제어 기능에는 다음과 같은 두 가지 중요한 업데이트가 제공되었습니다.

새 권장 사항은 이전에 허용되지 않은 잠재적으로 합법적인 동작을 식별합니다. 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 합니다.라는 새 추천 사항은 적응형 애플리케이션 제어 위반 경고의 가양성의 수를 줄이기 위해 새 규칙을 기존 정책에 추가하도록 요청합니다.
이제 경로 규칙은 와일드카드를 지원합니다. 이 업데이트에서는 와일드카드를 사용하여 허용된 경로 규칙을 구성할 수 있습니다. 지원되는 두 가지 시나리오는 다음과 같습니다.
- 경로 끝에 와일드카드를 사용하여 이 폴더 및 하위 폴더 내의 모든 실행 파일을 허용합니다.
- 경로 중간에 와일드카드를 사용하여 폴더 이름이 변경된 알려진 실행 파일 이름을 사용하도록 설정합니다(예: 알려진 실행 파일이 있는 개인 사용자 폴더, 자동으로 생성된 폴더 이름 등).

SQL Advanced Data Security에 대한 6가지 정책이 더 이상 사용되지 않음

SQL 컴퓨터의 고급 데이터 보안과 관련된 6가지 정책은 더 이상 사용되지 않습니다.

SQL 관리형 인스턴스 고급 데이터 보안 설정에서 고급 위협 방지 유형을 '모두'로 설정해야 합니다.
SQL Server 고급 데이터 보안 설정에서 고급 위협 방지 유형을 '모두'로 설정해야 합니다.
SQL 관리형 인스턴스에 대한 고급 데이터 보안 설정에는 보안 경고를 수신하기 위한 이메일 주소가 포함되어야 합니다.
SQL Server에 대한 Advanced Data Security 설정에는 보안 경고를 받을 이메일 주소가 포함되어야 합니다.
SQL 관리형 인스턴스 고급 데이터 보안 설정에서 관리자 및 구독 소유자에게 전자 메일 알림을 사용하도록 설정해야 합니다.
SQL 서버 Advanced Data Security 설정에는 관리자 및 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다.

Learn more about built-in policies.

June 2020

6월 업데이트는 다음과 같습니다.

보안 점수 API(미리 보기)
SQL 컴퓨터(Azure, 기타 클라우드 및 온-프레미스)에 대한 Advanced Data Security(미리 보기)
Azure Arc 머신에 Log Analytics 에이전트를 배포하기 위한 두 가지 새로운 권장 사항(미리 보기)
대규모로 연속 내보내기 및 워크플로 자동화 구성을 만드는 새로운 정책
NSG를 사용하여 인터넷이 아닌 가상 머신을 보호하기 위한 새로운 권장 사항
위협 방지 및 고급 데이터 보안을 사용하도록 설정하기 위한 새로운 정책

보안 점수 API(미리 보기)

이제 보안 점수 API(현재 미리 보기)를 통해 점수에 액세스할 수 있습니다. API 메서드는 데이터를 쿼리할 수 있는 유연성을 제공하고, 시간 경과에 따른 보안 점수에 대한 사용자 고유의 보고 메커니즘을 빌드합니다. For example, you can use the Secure Scores API to get the score for a specific subscription. 추가로 보안 점수 제어 API를 사용하여 보안 제어 및 구독의 현재 점수를 나열할 수 있습니다.

보안 점수 API를 사용하여 가능한 외부 도구의 예는 GitHub 커뮤니티의 보안 점수 영역을 참조 하세요.

Azure Security Center의 보안 점수 및 보안 제어에 대해 자세히 알아보세요.

SQL 컴퓨터(Azure, 기타 클라우드 및 온-프레미스)에 대한 Advanced Data Security(미리 보기)

SQL 머신에 대한 Azure Security Center의 고급 데이터 보안은 이제 Azure, 다른 클라우드 환경 및 온-프레미스 머신에서 호스트되는 SQL Server를 보호합니다. 이렇게 하면 하이브리드 환경을 완벽하게 지원하도록 Azure 네이티브 SQL Server에 대한 보호가 확장됩니다.

고급 데이터 보안은 SQL 머신이 어디에 있든지 취약성 평가 및 고급 위협 방지를 제공합니다.

설정에는 다음 두 가지 단계가 포함됩니다.

Azure 계정에 대한 연결을 제공하기 위해 SQL Server의 호스트 컴퓨터에 Log Analytics 에이전트를 배포합니다.
Security Center의 가격 책정 및 설정 페이지에서 선택적 번들을 사용하도록 설정합니다.

SQL 머신의 고급 데이터 보안에 대해 자세히 알아봅니다.

Azure Arc 머신에 Log Analytics 에이전트를 배포하기 위한 두 가지 새로운 권장 사항(미리 보기)

Log Analytics 에이전트를 Azure Arc 머신에 배포하고 Azure Security Center로 보호되도록 하는 데 도움이 되는 두 가지 새로운 권장 사항이 추가되었습니다.

Windows 기반 Azure Arc 머신에 Log Analytics 에이전트를 설치해야 함(미리 보기)
Linux 기반 Azure Arc 컴퓨터에 Log Analytics 에이전트를 설치해야 함(미리 보기)

이러한 새로운 권장 사항은 기존(관련) 권장 사항과 동일한 4가지 보안 컨트롤에 표시되며, 모니터링 에이전트는 컴퓨터에 설치되어야 합니다. 즉, 보안 구성 수정, 적응형 애플리케이션 제어 적용, 시스템 업데이트 적용 및 엔드포인트 보호 사용.

권장 사항에는 배포 프로세스를 가속화하는 빠른 수정 기능도 포함됩니다.

Azure Security Center에서 에이전트를 사용하는 방법에 대해 Log Analytics 에이전트는 무엇인가요?에서 자세히 알아보세요.

Azure Arc 머신의 확장에 대해 자세히 알아봅니다.

대규모로 연속 내보내기 및 워크플로 자동화 구성을 만드는 새로운 정책

조직의 모니터링 및 인시던트 대응 프로세스를 자동화하면 보안 인시던트를 조사하고 완화하는 데 걸리는 시간을 크게 향상시킬 수 있습니다.

To deploy your automation configurations across your organization, use these built-in 'DeployIfdNotExist' Azure policies to create and configure continuous export and workflow automation procedures:

정책 정의는 Azure Policy에서 찾을 수 있습니다.

Goal	Policy	Policy ID
Event Hubs로 연속 내보내기	Azure Security Center 경고 및 권장 사항에 대한 Event Hub로 내보내기 배포	cdfcce10-4578-4ecd-9703-530938e4abcb
Log Analytics 작업 영역으로 연속 내보내기	Azure Security Center 경고 및 권장 사항에 대한 Log Analytics 작업 영역으로 내보내기 배포	ffb6f416-7bd2-4488-8828-56585fef2be9
보안 경고에 대한 워크플로 자동화	Azure Security Center 경고에 대한 워크플로 자동화 배포	f1525828-9a90-4fcf-be48-268cdd02361e
보안 추천 사항에 대한 워크플로 자동화	Azure Security Center 권장 사항에 대한 워크플로 자동화 배포	73d6ab6c-2475-4850-afd6-43795f3492ef

워크플로 자동화 템플릿을 시작합니다.

제공된 정책을 사용하여 대규모 워크플로 자동화 구성 및 연속 내보내기 설정에서 두 가지 내보내기 정책 사용에 대해 자세히 알아봅니다.

NSG를 사용하여 인터넷에 연결되지 않은 가상 머신을 보호하기 위한 새 추천 사항

"보안 모범 사례 구현" 보안 제어에는 이제 다음과 같은 새로운 권장 사항이 포함됩니다.

네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함

네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함이라는 기존 추천 사항은 VM을 대상으로 하는 인터넷 연결 VM과 인터넷에 연결되지 않은 VM을 구분하지 않았습니다. 둘 다 VM이 네트워크 보안 그룹에 할당되지 않은 경우 심각도가 높은 권장 사항이 생성되었습니다. 이 새로운 권장 사항은 가양성을 줄이고 불필요한 심각도가 높은 경고를 방지하기 위해 인터넷이 아닌 컴퓨터를 분리합니다.

위협 방지 및 고급 데이터 보안을 사용하도록 설정하기 위한 새로운 정책

아래의 새 정책 정의는 ASC 기본 이니셔티브에 추가되었으며, 관련 리소스 종류에 대한 위협 방지 또는 고급 데이터 보안을 지원하도록 설계되었습니다.

정책 정의는 Azure Policy에서 찾을 수 있습니다.

Policy	Policy ID
Azure SQL Database 서버에서 Advanced Data Security를 사용하도록 설정해야 함	7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
머신의 SQL 서버에서 Advanced Data Security를 사용하도록 설정해야 함	6581d072-105e-4418-827f-bd446d56421b
Azure Storage 계정에서 고급 위협 방지를 사용하도록 설정해야 함	308fbb08-4ab8-4e67-9b29-592e93fb94fa
Azure Key Vault 자격 증명 모음에서 고급 위협 방지를 사용하도록 설정해야 함	0e6763cc-5078-4e64-889d-ff4d9a839047
Azure 앱 Service 계획에서 고급 위협 방지를 사용하도록 설정해야 함	2913021d-f2fd-4f3d-b958-22354e2bdbcb
Azure Container Registry 레지스트리에서 고급 위협 방지를 사용하도록 설정해야 합니다.	c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
Azure Kubernetes Service 클러스터에서 고급 위협 방지를 사용하도록 설정해야 함	523b5cd1-3e23-492f-a539-13118b6d1e3a
Virtual Machines에서 고급 위협 방지를 사용하도록 설정해야 함	4da35fc9-c9e7-4960-aec9-797fe7d9051d

Azure Security Center의 위협 방지에 대해 자세히 알아봅니다.

May 2020

5월 업데이트는 다음과 같습니다.

경고 표시 안 함 규칙(미리 보기)
이제 일반 공급되는 가상 머신 취약성 평가
JIT(Just-In-Time) VM(가상 머신) 액세스의 변경 사항
사용자 지정 권장 사항이 별도의 보안 제어로 이동됨
설정/해제가 컨트롤의 권장 사항 보기에 또는 단순 목록으로 추가됨
확장된 보안 제어 “보안 모범 사례 구현”
이제 사용자 지정 메타데이터에 관한 사용자 지정 정책이 일반 공급됨
파일리스 공격 검색으로 마이그레이션되는 크래시 덤프 분석 기능

경고 표시 안 함 규칙(미리 보기)

이 새로운 기능(현재 미리 보기 상태)은 경고 피로를 줄이는 데 도움이 됩니다. 규칙을 사용하여 무해하거나 조직의 정상적인 활동과 관련된 것으로 알려진 경고를 자동으로 숨깁니다. 이렇게 하면 가장 관련성이 높은 위협에 집중할 수 있습니다.

활성화된 중복된 경고 제거 규칙과 일치하는 경고는 계속 생성되지만 해당 상태는 해제됨으로 설정됩니다. Azure Portal에서 상태를 보거나 Security Center 보안 경고에 액세스할 수 있습니다.

중복된 경고 제거 규칙은 경고를 자동으로 해제할 조건을 정의합니다. 일반적으로 중복된 경고 제거 규칙은 다음과 같은 용도로 사용합니다.

가양성으로 식별된 경고 표시 안 함
너무 자주 트리거되는 경고가 유용하지 않도록 표시 안 함

Azure Security Center의 위협 방지에서 경고 표시 안 함에 대해 자세히 알아보세요.

이제 일반 공급되는 가상 머신 취약성 평가

이제 Security Center의 표준 계층에는 추가 비용 없이 가상 머신에 대한 통합 취약성 평가가 포함됩니다. 이 확장은 Qualys에서 지원되지만 그 결과를 Security Center에 직접 보고합니다. Qualys 라이선스 또는 Qualys 계정이 필요하지 않습니다. 모든 항목이 Security Center 내에서 원활하게 처리됩니다.

새 솔루션은 가상 머신을 지속적으로 검사하여 취약성을 찾고 Security Center에서 결과를 제시할 수 있습니다.

솔루션을 배포하려면 새 보안 권장 사항을 사용합니다.

"가상 머신(Qualys에서 구동)에서 기본 제공 취약성 평가 솔루션을 사용하도록 설정"

가상 머신에 대한 Security Center의 통합 취약성 평가에 대해 자세히 알아보세요.

JIT(Just-In-Time) VM(가상 머신) 액세스의 변경 사항

Security Center에는 VM의 관리 포트를 보호하는 선택적 기능이 포함되어 있습니다. 이렇게 하면 가장 일반적인 형태의 무차별 암호 대입 공격에 대한 방어가 제공됩니다.

이 업데이트는 이 기능을 다음과 같이 변경합니다.

VM에서 JIT를 사용하도록 설정하는 것이 좋습니다. 이전에는 "Just-In-Time 네트워크 액세스 제어를 가상 머신에 적용해야 합니다." 이제는 "가상 머신의 관리 포트를 Just-In-Time 네트워크 액세스 제어로 보호해야 합니다."
추천 사항은 열린 관리 포트가 있는 경우에만 트리거됩니다.

JIT 액세스 기능에 대해 자세히 알아봅니다.

사용자 지정 권장 사항이 별도의 보안 제어로 이동됨

향상된 보안 점수로 도입된 보안 제어 중 하나는 "보안 모범 사례 구현"이었습니다. 구독에 대해 만든 모든 사용자 지정 권장 사항은 해당 컨트롤에 자동으로 배치되었습니다.

사용자 지정 권장 사항을 더 쉽게 찾을 수 있도록 전용 보안 제어인 "사용자 지정 권장 사항"으로 이동했습니다. 이 컨트롤은 보안 점수에 영향을 주지 않습니다.

Azure Security Center에서 향상된 보안 점수(미리 보기)의 보안 컨트롤에 대해 자세히 알아보세요.

설정/해제가 컨트롤의 권장 사항 보기에 또는 단순 목록으로 추가됨

보안 컨트롤은 관련된 보안 권장 사항의 논리적 그룹입니다. 그들은 당신의 취약한 공격 표면을 반영합니다. 컨트롤은 이러한 권장 사항을 구현하는 데 도움이 되는 지침을 포함하는 보안 권장 사항 세트입니다.

조직에서 각 개별 공격 노출 영역을 얼마나 잘 보호하는지 즉시 확인하려면 각 보안 제어에 대한 점수를 검토합니다.

기본적으로 권장 사항은 보안 컨트롤에 표시됩니다. 이 업데이트에서 목록으로 표시할 수도 있습니다. 영향을 받는 리소스의 상태를 기준으로 정렬된 단순 목록으로 보려면 새 토글 '컨트롤 기준 그룹화'를 사용합니다. 토글은 포털의 목록 위에 있습니다.

보안 컨트롤 및 이 토글은 새로운 보안 점수 환경의 일부입니다. 포털 내에서 피드백을 보내주세요.

Azure Security Center에서 향상된 보안 점수(미리 보기)의 보안 컨트롤에 대해 자세히 알아보세요.

권장 사항에 대해 컨트롤별로 그룹화 토글합니다.

확장된 보안 제어 “보안 모범 사례 구현”

향상된 보안 점수와 함께 도입된 보안 제어 중 하나는 "보안 모범 사례 구현"입니다. 이 컨트롤에 권장 사항이 있으면 보안 점수에 영향을 주지 않습니다.

이 업데이트를 통해 세 가지 권장 사항이 원래 배치된 컨트롤에서 이 모범 사례 컨트롤로 이동되었습니다. 이러한 세 가지 권장 사항에 대한 위험이 처음에 생각된 것보다 낮은 것으로 판단했기 때문에 이 단계를 수행했습니다.

또한 두 가지 새로운 권장 사항이 도입되어 이 컨트롤에 추가되었습니다.

이동한 세 가지 권장 사항은 다음과 같습니다.

구독 에 대한 읽기 권한이 있는 계정에서 MFA를 사용하도록 설정해야 합니다(원래 "MFA 사용" 컨트롤).
읽기 권한이 있는 외부 계정은 구독 에서 제거해야 합니다(원래 "액세스 및 권한 관리" 컨트롤).
구독 에 대해 최대 3개의 소유자를 지정해야 합니다(원래 "액세스 및 권한 관리" 컨트롤에 있음).

컨트롤에 추가된 두 가지 새로운 권장 사항은 다음과 같습니다.

Windows Virtual Machines에 게스트 구성 확장을 설치해야 함(미리 보기) - Azure Policy 게스트 구성을 사용하면 가상 머신 내에서 서버 및 애플리케이션 설정에 대한 가시성을 제공합니다(Windows만 해당).
컴퓨터(미리 보기) 에서 Windows Defender Exploit Guard를 사용하도록 설정해야 합니다. Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 활용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당).

Exploit Guard 정책 만들기 및 배포에서 Windows Defender Exploit Guard에 대해 자세히 알아봅니다.

향상된 보안 점수(미리 보기)의 보안 제어에 대해 자세히 알아보세요.

이제 일반 공급되는 사용자 지정 메타데이터가 포함된 사용자 지정 정책

사용자 지정 정책은 이제 Security Center 권장 사항 환경, 보안 점수 및 규정 준수 표준 대시보드의 일부입니다. 이 기능은 이제 일반 공급되며, Security Center에서 조직의 보안 평가 적용 범위를 확장할 수 있습니다.

Azure Policy에서 사용자 지정 이니셔티브를 만들고, 정책을 추가하고, Azure Security Center에 온보딩하고, 권장 사항으로 시각화합니다.

이제 사용자 지정 권장 구성 메타데이터를 편집하는 옵션도 추가했습니다. 메타데이터 옵션에는 심각도, 수정 단계, 위협 정보 등이 포함됩니다.

자세한 정보를 사용하여 사용자 지정 권장 사항 향상에 대해 자세히 알아봅니다.

파일리스 공격 검색으로 마이그레이션되는 크래시 덤프 분석 기능

Windows CDA(크래시 덤프 분석) 검색 기능을 파일리스 공격 검색에 통합하고 있습니다. 파일리스 공격 검색 분석은 Windows 머신에 대해 향상된 버전의 보안 경고를 제공합니다. 코드 삽입 검색, 검색된 Windows 모듈 위장, 셸 코드 검색 및 의심스러운 코드 세그먼트 검색됨.

이 전환의 이점 중 일부는 다음과 같습니다.

사전 예방적이고 시기 적절한 맬웨어 탐지 - 작동 중단이 발생할 때까지 기다린 다음, 분석을 실행하여 악성 아티팩트를 찾는 데 관련된 CDA 접근 방법입니다. 파일리스 공격 검색을 사용하면 실행 중인 동안 메모리 내 위협을 사전에 식별할 수 있습니다.
Enriched alerts - The security alerts from fileless attack detection include enrichments that aren't available from CDA, such as the active network connections information.
Alert aggregation - When CDA detected multiple attack patterns within a single crash dump, it triggered multiple security alerts. 파일리스 공격 탐지는 동일한 프로세스에서 식별된 모든 공격 패턴을 단일 경고로 결합하여 여러 경고의 상관 관계를 지정할 필요가 없습니다.
Log Analytics 작업 영역에 대한 요구 사항 감소 - 잠재적으로 중요한 데이터가 포함된 크래시 덤프는 더 이상 Log Analytics 작업 영역에 업로드되지 않습니다.

April 2020

4월의 업데이트는 다음과 같습니다.

이제 동적 규정 준수 패키지를 일반 공급
이제 Azure Security Center 무료 계층에 포함된 ID 권장 사항

이제 동적 규정 준수 패키지를 일반 공급

이제 Azure Security Center 규제 준수 대시보드에는 추가 산업 및 규정 표준을 추적하는 동적 준수 패키지(현재 일반 공급)가 포함됩니다.

Security Center 보안 정책 페이지에서 구독 또는 관리 그룹에 동적 준수 패키지를 추가할 수 있습니다. 표준 또는 벤치마크를 온보딩하면 규정 준수 대시보드에 평가로 매핑된 모든 관련 준수 데이터를 포함한 표준이 표시됩니다. 온보딩한 표준에 대한 요약 보고서가 제공되며 다운로드할 수 있습니다.

이제 다음과 같은 표준을 추가할 수 있습니다.

NIST SP 800-53 R4
SWIFT CSP CSCF-v2020
영국 공식 및 영국 NHS
캐나다 연방 PBMM
Azure CIS 1.1.0(신규) (Azure CIS 1.1.0의 보다 완전한 표현)

또한 최근 일반 준수 프레임워크를 기반으로 하는 보안 및 규정 준수 모범 사례에 대해 Microsoft에서 작성한 Azure 관련 지침인 Azure Security Benchmark를 추가했습니다. 추가 표준이 사용할 수 있게 되면 대시보드에서 지원될 예정입니다.

규정 준수 대시보드에서 표준 집합을 사용자 지정하는 방법에 대해 자세히 알아봅니다.

이제 Azure Security Center 무료 계층에 ID 권장 사항이 포함됨

이제 Azure Security Center 무료 계층에서 ID 및 액세스에 대한 보안 권장 사항이 일반 공급됩니다. 이는 CSPM(클라우드 보안 상태 관리) 기능을 무료로 만들기 위한 노력의 일환입니다. 지금까지 해당 권장 사항은 표준 가격 책정 계층에서만 사용할 수 있었습니다.

ID 및 액세스 권장 사항의 예는 다음과 같습니다.

“구독에서 소유자 권한이 있는 계정에 다단계 인증을 사용하도록 설정해야 합니다.”
"구독에 대해 최대 3명의 소유자를 지정해야 합니다."
“더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다.”

무료 가격 책정 계층에 구독이 있는 경우 해당 보안 점수는 ID 및 액세스 보안에 대해 평가되지 않았으므로 이 변경 사항의 영향을 받습니다.

March 2020

3월 업데이트는 다음과 같습니다.

이제 워크플로 자동화를 일반 공급
Windows Admin Center와 Azure Security Center 통합
Azure Kubernetes Service에 대한 보호
Just-In-Time 환경 개선
사용되지 않는 웹 애플리케이션에 대한 두 가지 보안 권장 사항

이제 워크플로 자동화를 일반 공급

이제 Azure Security Center의 워크플로 자동화 기능이 일반 공급됩니다. 이 기능을 사용하여 보안 경고 및 권장 사항에 대해 Logic Apps를 자동으로 트리거할 수 있습니다. 또한 빠른 수정 옵션을 사용할 수 있는 경고 및 모든 권장 사항에 대해 수동 트리거를 사용할 수 있습니다.

모든 보안 프로그램에는 인시던트 응답을 위한 여러 워크플로가 포함되어 있습니다. 이러한 프로세스에는 관련 이해 관계자에게 알리고, 변경 관리 프로세스를 시작하고, 특정 수정 단계를 적용하는 것이 포함될 수 있습니다. 보안 전문가는 가능한 한 해당 절차의 여러 단계를 자동화할 것을 권장합니다. 자동화는 오버헤드를 줄이고 프로세스 단계가 미리 정의된 요구 사항에 따라 빠르고 일관되게 수행되도록 하여 보안을 향상시킬 수 있습니다.

For more information about the automatic and manual Security Center capabilities for running your workflows, see workflow automation.

Logic Apps를 만드는 방법에 대해 자세히 알아봅니다.

Windows Admin Center와 Azure Security Center 통합

이제 온-프레미스 Windows 서버를 Windows Admin Center에서 Azure Security Center로 직접 이동할 수 있습니다. 이렇게 하면 Azure Security Center에서 온-프레미스 서버, 가상 머신, 그 밖의 PaaS 워크로드를 비롯한 모든 Windows Admin Center 리소스의 보안 정보를 한눈에 볼 수 있습니다.

Windows Admin Center에서 Azure Security Center로 서버를 이동한 후에는 다음을 수행할 수 있습니다.

Windows Admin Center의 Security Center 확장에서 보안 경고와 권장 사항 보기.
보안 상태를 확인하고 Azure Portal 또는 API를 통해 Security Center에서 Windows Admin Center 관리 서버에 대한 추가 세부 정보를 검색합니다.

Windows Admin Center와 Azure Security Center를 통합하는 방법에 대해 자세히 알아보세요.

Azure Kubernetes Service에 대한 보호

AKS(Azure Kubernetes Service)를 보호하기 위해 Azure Security Center의 컨테이너 보안 기능이 확장됩니다.

인기 있는 오픈 소스 플랫폼 Kubernetes는 널리 채택되어 이제 컨테이너 오케스트레이션에 대한 업계 표준이 되었습니다. 이러한 광범위한 구현에도 불구하고 Kubernetes 환경을 보호하는 방법에 대한 이해가 여전히 부족합니다. 컨테이너화된 애플리케이션의 공격 표면을 방어하려면 인프라가 안전하게 구성되고 잠재적 위협에 대해 지속적으로 모니터링되도록 하는 전문 지식이 필요합니다.

Security Center 방어에는 다음이 포함됩니다.

검색 및 가시성 - Security Center에 등록된 구독 내에서 관리되는 AKS 인스턴스를 지속적으로 검색합니다.
Security recommendations - Actionable recommendations to help you comply with security best-practices for AKS. 이러한 권장 사항은 조직의 보안 상태의 일부로 볼 수 있도록 보안 점수에 포함됩니다. AKS 관련 권장 사항의 예로는 "역할 기반 액세스 제어를 사용하여 Kubernetes 서비스 클러스터에 대한 액세스를 제한해야 합니다."
Threat protection - Through continuous analysis of your AKS deployment, Security Center alerts you to threats and malicious activity detected at the host and AKS cluster level.

Security Center와 Azure Kubernetes Services의 통합에 대해 자세히 알아봅니다.

Security Center의 컨테이너 보안 기능에 대해 자세히 알아봅니다.

Just-In-Time 환경 개선

관리 포트를 보호하는 Azure Security Center의 Just-In-Time 도구에 대한 기능, 작업 및 UI는 다음과 같이 향상되었습니다.

Justification field - When requesting access to a virtual machine (VM) through the just-in-time page of the Azure portal, a new optional field is available to enter a justification for the request. 이 필드에 입력한 정보는 활동 로그에서 추적할 수 있습니다.
JIT(중복 Just-In-Time) 규칙 자동 정리 - JIT 정책을 업데이트할 때마다 정리 도구가 자동으로 실행되어 전체 규칙 집합의 유효성을 확인합니다. 이 도구는 정책의 규칙과 NSG의 규칙 간 불일치를 검색합니다. 정리 도구에서 불일치를 발견하면 원인을 확인하고 안전한 경우 더 이상 필요하지 않은 기본 제공 규칙을 제거합니다. 클리너는 사용자가 만든 규칙을 삭제하지 않습니다.

JIT 액세스 기능에 대해 자세히 알아봅니다.

사용되지 않는 웹 애플리케이션에 대한 두 가지 보안 권장 사항

웹 애플리케이션과 관련된 다음과 같은 두 가지 보안 권장 사항이 사용 중단됩니다.

IaaS NSG에서 웹 애플리케이션에 대한 규칙을 강화해야 합니다. (관련 정책: IaaS의 웹 애플리케이션에 대한 NSG 규칙을 강화해야 합니다.)
App Services에 대한 액세스를 제한해야 합니다. (관련 정책: App Services에 대한 액세스를 제한해야 합니다[미리 보기])

이러한 권장 사항은 더 이상 Security Center 권장 사항 목록에 표시되지 않습니다. 관련 정책은 "Security Center 기본값"이라는 이니셔티브에 더 이상 포함되지 않습니다.

February 2020

Linux용 파일리스 공격 검색(미리 보기)

공격자가 탐지를 피하려고 점점 은폐성이 더 강한 방법을 이용함에 따라 Azure Security Center는 Windows 외에 Linux에 대해 파일 미사용 공격 감지를 확장합니다. 파일 미사용 공격은 소프트웨어 취약성을 악용하고, 악성 페이로드를 무해한 시스템 프로세스에 삽입하고, 메모리에서 숨깁니다. These techniques:

디스크에서 맬웨어 추적 최소화 또는 제거
디스크 기반 맬웨어 검색 솔루션에서 검색 가능성을 크게 줄입니다.

이 위협에 대응하기 위해 Azure Security Center는 2018년 10월에 Windows용 파일 미사용 공격 감지를 릴리스했으며, 이제 Linux에서도 파일 미사용 공격 감지가 확장되었습니다.

January 2020

향상된 보안 점수(미리 보기)

이제 Azure Security Center의 향상된 버전의 보안 점수 기능이 미리 보기에서 제공됩니다. 이 버전에서 여러 권장 사항은 취약한 공격 노출 영역을 더 잘 반영하는 보안 컨트롤로 그룹화되어 있습니다(예: 관리 포트에 대한 액세스 제한).

미리 보기 단계에서 보안 점수 변경을 숙지하고 환경을 보다 안전하게 보호하는 데 도움이 되는 다른 수정을 결정합니다.

향상된 보안 점수(미리 보기)에 대해 자세히 알아봅니다.

November 2019

11월의 업데이트는 다음과 같습니다.

북아메리카 지역의 Azure Key Vault에 대한 위협 방지(미리 보기)
Azure Storage에 대한 위협 방지에는 맬웨어 평판 검사가 포함됩니다.
Logic Apps를 사용하는 워크플로 자동화(미리 보기)
일반 공급되는 대량 리소스에 대한 빠른 수정
컨테이너 이미지에서 취약성 검사(미리 보기)
추가 규정 준수 표준(미리 보기)
Azure Kubernetes Service용 위협 방지(미리 보기)
가상 머신 취약성 평가(미리 보기)
Azure Virtual Machines의 SQL 서버에 대한 고급 데이터 보안(미리 보기)
사용자 지정 정책 지원(미리 보기)
커뮤니티 및 파트너를 위한 플랫폼을 사용하여 Azure Security Center 적용 범위 확장
권장 사항 및 경고 내보내기와 고급 통합(미리 보기)
Windows Admin Center에서 Security Center에 온-프레미스 서버 온보딩(미리 보기)

북아메리카 지역의 Azure Key Vault에 대한 위협 방지(미리 보기)

Azure Key Vault는 클라우드에서 키, 비밀, 암호화 키 및 정책을 중앙 집중적으로 관리하는 기능을 제공하여 데이터를 보호하고 클라우드 애플리케이션의 성능을 개선하는 필수 서비스입니다. Azure Key Vault는 중요한 중요 비즈니스용 데이터를 저장하므로 저장되는 키 자격 증명 모음 및 데이터에 대해 최대 보안이 필요합니다.

Azure Key Vault에 대한 위협 방지에 대한 Azure Security Center의 지원은 키 자격 증명 모음에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하는 추가 보안 인텔리전스 계층을 제공합니다. 이 새로운 보호 계층을 통해 고객은 보안 전문가가 되거나 보안 모니터링 시스템을 관리할 필요 없이 키 자격 증명 모음에 대한 위협을 해결 수 있습니다. 이 기능은 북아메리카 지역에서 퍼블릭 미리 보기로 제공됩니다.

Azure Storage 위협 방지에 맬웨어 평판 검사가 포함됨

Azure Storage 위협 방지는 해시 평판 분석을 사용한 Azure Storage로의 맬웨어 업로드와 활성 Tor 종료 노드(익명화하는 프록시)의 의심스러운 액세스를 탐지할 수 있는 새로운 탐지 기능(Microsoft 위협 인텔리전스에서 제공함)을 제공합니다. 이제 Azure Security Center를 사용하여 스토리지 계정에서 탐지된 맬웨어를 확인할 수 있습니다.

Logic Apps를 사용하는 워크플로 자동화(미리 보기)

보안 및 IT/운영을 중앙 집중식으로 관리하는 조직은 환경에서 불일치가 발견되는 경우 조직 내에서 필요한 작업을 수행하도록 내부 워크플로 프로세스를 구현합니다. 대부분의 경우 이러한 워크플로는 반복 가능한 프로세스이며 자동화는 조직 내의 프로세스를 대폭 간소화할 수 있습니다.

현재 Security Center에는 고객이 Azure Logic Apps를 활용하는 자동화 구성을 만들고 권장 사항 또는 경고와 같은 특정 ASC 결과에 따라 자동으로 트리거되는 정책을 만들 수 있는 새로운 기능이 도입되었습니다. Azure 논리 앱은 방대한 논리 앱 커넥터 커뮤니티에서 지원하는 사용자 지정 작업을 수행하거나 메일 보내기 또는 ServiceNow™ 티켓 열기와 같이 Security Center에서 제공하는 템플릿 중 하나를 사용하도록 구성할 수 있습니다.

For more information about the automatic and manual Security Center capabilities for running your workflows, see workflow automation.

Logic Apps를 만드는 방법에 대해 자세히 알아보려면 Azure Logic Apps를 참조하세요.

대량 리소스에 대한 빠른 수정 일반 공급

Secure Score의 일부로 사용자에게 제공되는 많은 작업으로 인해 대규모 문제를 효과적으로 해결하는 기능이 어려워질 수 있습니다.

빠른 수정 수정을 사용하여 보안 잘못된 구성을 수정하고, 여러 리소스에 대한 권장 사항을 수정하고, 보안 점수를 향상시킵니다.

이 작업을 통해 수정을 적용할 리소스를 선택하고 사용자를 대신해 설정을 구성할 수정 작업을 시작할 수 있습니다.

빠른 수정은 Security Center 권장 사항 페이지의 일부로 오늘날 고객에게 일반적으로 제공됩니다.

취약성에 대한 컨테이너 이미지 검사(미리 보기)

Azure Security Center에서 이제 Azure Container Registry에 있는 컨테이너 이미지의 취약성을 검사할 수 있습니다.

이미지 검사는 컨테이너 이미지 파일을 구문 분석한 후 알려진 취약성이 있는지 확인하는 방식으로 수행됩니다(Qualys 기반).

검사 자체는 새 컨테이너 이미지를 Azure Container Registry로 푸시하면 자동으로 트리거됩니다. 발견된 취약성은 Security Center 권장 사항으로 나타나고 허용되는 공격 표면을 줄이기 위해 패치하는 방법에 대한 정보와 함께 Secure Score에 포함됩니다.

추가 규정 준수 표준(미리 보기)

규정 준수 대시보드는 Security Center 평가를 바탕으로 규정 준수 포스처에 대한 인사이트를 제공합니다. 대시보드는 특정 규정 표준 및 업계 벤치마크에 따라 지정된 제어 및 요구 사항을 사용자 환경에서 어떤 방식으로 준수하는지 보여 주고 이러한 요구 사항을 해결하는 방법에 대한 규범적 권장 사항을 제공합니다.

규정 준수 대시보드는 다음 네 가지 기본 제공 표준을 지원했습니다. Azure CIS 1.1.0, PCI-DSS, ISO 27001 및 SOC-TSP. 이제 지원되는 추가 표준인 NIST SP 800-53 R4, SWIFT CSP CSCF v2020, 캐나다 연방 PBMM 및 영국 공식과 영국 NHS의 공개 미리 보기 릴리스를 발표합니다. 또한 업데이트된 버전의 Azure CIS 1.1.0을 릴리스하여 표준에서 더 많은 컨트롤을 처리하고 확장성을 향상합니다.

규정 준수 대시보드에서 표준 집합을 사용자 지정하는 방법에 대해 자세히 알아봅니다.

Azure Kubernetes Service에 대한 위협 방지(미리 보기)

Kubernetes는 클라우드에서 빠른 속도로 소프트웨어 배포 및 관리의 새로운 표준이 되고 있습니다. Kubernetes와 관련하여 폭넓은 경험을 가진 사용자는 거의 없으며 다수가 일반 엔지니어링과 관리에만 집중하고 보안 측면은 간과하고 있습니다. Kubernetes 환경은 안전하도록 신중하게 구성하여 컨테이너 중심 공격 표면 도어가 열린 상태로 남아 공격자에게 노출되는 일이 없게 해야 합니다. Security Center는 Azure에서 가장 빠르게 성장하고 있는 서비스 중 하나인 AKS(Azure Kubernetes Service)로 컨테이너 공간에서의 지원을 확장하고 있습니다.

이 퍼블릭 미리 보기 릴리스의 새로운 기능은 다음과 같습니다.

검색 및 표시 유형 - Security Center의 등록된 구독 내에서 관리되는 AKS 인스턴스를 지속적으로 검색합니다.
보안 점수 권장 사항 - 고객이 AKS에 대한 보안 모범 사례를 준수하고 보안 점수를 높이는 데 도움이 되는 실행 가능한 항목입니다. 권장 사항에는 "Kubernetes 서비스 클러스터에 대한 액세스를 제한하기 위해 역할 기반 액세스 제어를 사용해야 합니다."와 같은 항목이 포함됩니다.
Threat Detection - Host and cluster-based analytics, such as "A privileged container detected".

가상 머신 취약성 평가(미리 보기)

가상 머신에 설치된 애플리케이션은 가상 머신 보안 위반으로 이어질 수 있는 취약성을 지니고 있는 경우가 많습니다. Security Center 표준 계층에는 추가 비용 없이 가상 머신에 대한 기본 제공 취약성 평가가 포함됩니다. 공개 미리 보기에서 Qualys를 통해 제공되는 취약성 평가를 통해 가상 머신에 설치된 모든 애플리케이션을 지속적으로 검사하여 취약한 애플리케이션을 찾고 Security Center 포털의 환경에서 결과를 제시할 수 있습니다. Security Center에서 모든 배포 작업을 처리하므로 사용자의 추가 작업이 필요하지 않습니다. 앞으로는 고객의 고유한 비즈니스 요구 사항을 지원하기 위해 취약성 평가 옵션을 제공할 계획입니다.

Azure Virtual Machines의 취약성 평가에 대해 자세히 알아봅니다.

Azure Virtual Machines의 SQL 서버에 대한 고급 데이터 보안(미리 보기)

IaaS VM에서 실행되는 SQL DB에 대한 위협 방지 및 취약성 평가에 대한 Azure Security Center의 지원은 현재 미리 보기로 제공됩니다.

Vulnerability assessment is an easy to configure service that can discover, track, and help you remediate potential database vulnerabilities. Secure Score의 일부로 보안 태세에 대한 가시성을 제공하고, 보안 문제를 해결하고 데이터베이스 보안을 강화하는 단계를 포함합니다.

Advanced Threat Protection은 비정상적이며 잠재적으로 유해할 수 있는 SQL Server 액세스 또는 악용 시도를 나타내는 비정상적인 활동을 검색합니다. 데이터베이스에 의심스러운 활동이 있는지 지속적으로 모니터링하고 비정상적인 데이터베이스 액세스 패턴에 대한 작업 지향 보안 경고를 제공합니다. 이러한 경고는 의심스러운 활동에 대한 세부 정보와 위협을 조사하고 완화하는 데 권장되는 작업을 제공합니다.

사용자 지정 정책 지원(미리 보기)

Azure Security Center에서 이제 사용자 지정 정책을 지원합니다(미리 보기).

고객은 Azure Policy에서 만든 정책을 기반으로 한 자체 보안 평가를 통해 Security Center의 현재 보안 평가 적용 범위를 확장하기를 바라왔습니다. 이제 사용자 지정 정책이 지원됨에 따라 이러한 고객의 바람을 실현할 수 있게 되었습니다.

이러한 새 정책은 Security Center 권장 사항 환경, Secure Score 및 규정 준수 표준 대시보드에 포함됩니다. 이제 사용자 지정 정책을 지원하여 Azure Policy에서 사용자 지정 이니셔티브를 만든 다음 Security Center에서 정책으로 추가하고 권장 사항으로 시각화할 수 있습니다.

커뮤니티 및 파트너 플랫폼을 통해 Azure Security Center 적용 범위 확장

Security Center를 사용하여 Microsoft뿐만 아니라 더 많은 통합이 제공되는 Check Point, Tenable 및 CyberArk와 같은 파트너의 기존 솔루션에서 권장 사항을 받을 수 있습니다. Security Center의 간단한 온보딩 흐름은 기존 솔루션을 Security Center에 연결하여 보안 상태 권장 사항을 한 곳에서 보고, 통합 보고서를 실행하고, 기본 제공 및 파트너 권장 사항 모두에 대해 Security Center의 모든 기능을 활용할 수 있습니다. Security Center 권장 사항을 파트너 제품으로 내보낼 수도 있습니다.

Microsoft 지능형 보안 연합에 대해 자세히 알아봅니다.

권장 사항 및 경고 내보내기와 고급 통합(미리 보기)

Security Center 맨 위에서 엔터프라이즈 수준 시나리오를 사용하도록 설정하기 위해 이제 Azure Portal 또는 API를 제외하고 추가 위치에서 Security Center 경고 및 권장 사항을 사용할 수 있습니다. 이를 이벤트 허브 및 Log Analytics 작업 영역으로 직접 내보낼 수 있습니다. 새로운 기능과 관련하여 만들 수 있는 몇 가지 워크플로는 다음과 같습니다.

Log Analytics 작업 영역으로 내보내기를 사용하면 Power BI를 사용하여 사용자 지정 대시보드를 만들 수 있습니다.
Event Hub로 내보내기를 사용하면 Security Center 경고 및 권장 사항을 타사 SIEM, 타사 솔루션 또는 Azure Data Explorer로 내보낼 수 있습니다.

Windows Admin Center에서 Security Center에 온-프레미스 서버 온보딩(미리 보기)

Windows Admin Center는 Azure에 배포되지 않은 Windows 서버를 위한 관리 포털로, 백업 및 시스템 업데이트와 같은 여러 Azure 관리 기능을 제공합니다. 최근 ASC를 통해 보호할 이러한 비 Azure 서버를 Windows Admin Center 환경에서 바로 온보딩하는 기능이 추가되었습니다.

이제 사용자는 WAC 서버를 Azure Security Center에 온보딩하고 Windows Admin Center 환경에서 직접 보안 경고 및 권장 사항을 볼 수 있습니다.

September 2019

9월 업데이트는 다음과 같습니다.

적응형 애플리케이션 컨트롤을 사용하여 규칙 관리 개선
Azure Policy를 사용하여 컨테이너 보안 권장 사항 제어

적응형 애플리케이션 컨트롤을 사용하여 규칙 관리 개선

적응형 애플리케이션 제어를 사용하여 가상 머신에 대한 규칙을 관리하는 환경이 개선되었습니다. Azure Security Center의 적응형 애플리케이션 제어는 가상 머신에서 실행할 수 있는 애플리케이션을 제어하는 데 도움이 됩니다. 규칙 관리의 일반적인 향상 외에도 새 혜택을 통해 새 규칙을 추가할 때 보호할 파일 형식을 제어할 수 있습니다.

적응형 애플리케이션 제어에 대해 자세히 알아봅니다.

Azure Policy를 사용하여 컨테이너 보안 권장 사항 제어

이제 Azure Policy를 통해 컨테이너 보안의 취약성을 수정하기 위한 Azure Security Center의 권장 사항을 사용하거나 사용하지 않도록 설정할 수 있습니다.

사용하도록 설정된 보안 정책을 보려면 Security Center에서 보안 정책 페이지를 엽니다.

August 2019

8월의 업데이트는 다음과 같습니다.

Azure Firewall에 대한 JIT(Just-In-Time) VM 액세스
보안 태세를 강화하기 위한 클릭 한 번 수정(미리 보기)
Cross-tenant management

Azure Firewall에 대한 JIT(Just-In-Time) VM 액세스

Azure Firewall용 JIT(Just-In-Time) VM 액세스가 이제 일반 공급됩니다. 이를 사용하여 NSG 보호 환경 외에도 Azure Firewall 보호 환경을 보호합니다.

JIT VM 액세스는 NSG 및 Azure Firewall 규칙을 사용하여 필요한 경우에만 VM에 제어된 액세스를 제공하여 네트워크 대규모 공격에 대한 노출을 줄입니다.

VM에 대해 JIT를 사용하도록 설정할 때, 보호할 포트, 포트가 열린 상태로 유지될 시간 및 이러한 포트가 액세스될 수 있는 승인된 IP 주소 등을 결정하는 정책을 만듭니다. 이 정책으로 액세스를 요청할 때 사용자가 할 수 있는 작업을 계속 제어할 수 있습니다.

요청은 Azure 활동 로그에 기록되므로 액세스를 쉽게 모니터링하고 감사할 수 있습니다. JIT(just-in-time) 페이지를 사용하면 JIT가 사용하도록 설정된 기존 VM과 JIT가 권장되는 VM을 빠르게 식별할 수 있습니다.

Azure Firewall에 대해 자세히 알아보세요.

보안 태세를 강화하기 위한 클릭 한 번 수정(미리 보기)

보안 점수는 워크로드 보안 태세를 평가할 수 있는 도구입니다. 이 도구는 사용자의 보안 권장 사항을 검토하고 우선 순위를 지정하므로 사용자는 먼저 수행할 권장 사항을 파악할 수 있습니다. 이를 통해 가장 심각한 보안 취약성을 찾아내 조사의 순위를 지정할 수 있습니다.

보안 잘못된 구성의 수정을 간소화하고 보안 점수를 빠르게 개선하는 데 도움이 되도록 한 번의 클릭으로 대량의 리소스에 대한 권장 사항을 수정할 수 있는 새로운 기능을 추가했습니다.

이 작업을 통해 수정을 적용할 리소스를 선택하고 사용자를 대신해 설정을 구성할 수정 작업을 시작할 수 있습니다.

Cross-tenant management

Security Center는 이제 Azure Lighthouse의 일부로 교차 테넌트 관리 시나리오를 지원합니다. 따라서 Security Center에서 여러 테넌트를 파악하고 여러 테넌트의 보안 상태를 관리할 수 있습니다.

테넌트 간 관리 환경에 대해 자세히 알아보세요.

July 2019

네트워크 권장 사항 업데이트

ASC(Azure Security Center)에 새로운 네트워킹 권장 사항 및 개선된 몇 가지 기존 네트워킹 권장 사항이 있습니다. 이제 리소스의 네트워킹 보호에 Security Center를 훨씬 더 유용하게 이용할 수 있습니다.

June 2019

적응형 네트워크 강화 - 일반 공급

퍼블릭 클라우드에서 실행되는 워크로드의 가장 많은 부분을 차지하는 공격 노출은 공용 인터넷과의 연결에서 발생합니다. 고객은 Azure 워크로드를 필요한 원본 범위에만 사용할 수 있도록 하기 위해 어떤 NSG(네트워크 보안 그룹) 규칙을 사용해야 하는지 파악하기 어렵습니다. 이 기능을 통해 Security Center는 Azure 워크로드의 네트워크 트래픽과 연결 패턴을 학습하고 인터넷 연결 가상 머신을 위한 NSG 규칙 권장 사항을 제공합니다. 이를 통해 고객은 네트워크 액세스 정책을 더 잘 구성하고 공격에 대한 노출을 제한할 수 있습니다.

다음을 통해 공유

클라우드용 Defender-새로운 기능 아카이브

February 2025

향상된 AWS EC2 리소스 이름 표시

Microsoft Defender for Storage에서 주문형 맬웨어 검색

최대 50GB의 Blob에 대한 Defender for Storage 맬웨어 검사

AKS 런타임 컨테이너에 대한 컨테이너 레지스트리에 구애받지 않는 에이전트 없는 취약성 평가(미리 보기)

데이터 및 AI 보안 대시보드(미리 보기)

MDC 비용 계산기(미리 보기)

31 새롭고 향상된 다중 클라우드 규제 표준 적용 범위

January 2025

컨테이너 레지스트리 스캔 기준 업데이트

MDVM에서 제공하는 컨테이너 취약성 평가 검사에 대한 향상된 기능

AI 플랫폼을 지원하기 위해 GCP 커넥터에 추가된 권한

GC가 지원하는 Linux 기준 권장 사항에 대한 향상 사항

December 2024

기존 클라우드 커넥터의 검사 간격 변경

이제 민감도 검사 기능에 Azure 파일 공유가 포함됩니다.

인기 있는 CI/CD 도구와 클라우드용 Defender CLI 통합

클라우드용 Defender 설정 환경

Defender for Cloud의 클라우드 환경 검사에 대한 수정된 간격 옵션

FIM(파일 무결성 모니터링) 환경을 받으려면 엔드포인트용 Microsoft Defender 클라이언트 버전 업데이트가 필요합니다.

November 2024

민감도 검사 기능에는 이제 Azure 파일 공유(미리 보기)가 포함됩니다.

민감도 레이블 동의 변경

민감도 레이블 변경

최대 50GB의 Blob에 대한 Defender for Storage 맬웨어 검사(미리 보기)

관리되는 Kubernetes 환경 및 새 권장 사항에 대한 CIS 표준의 업데이트된 버전

고급 헌팅에서 Kubernetes 클라우드 프로세스 이벤트의 공개 미리 보기

취약성 관리 BYOL(Bring Your Own License) 기능 사용 중단

클라우드용 Microsoft Defender 에이전트 없는 코드 검색(미리 보기)

Microsoft Defender for Storage에서 주문형 맬웨어 검사(미리 보기)

Defender for Containers의 JFrog Artifactory 컨테이너 레지스트리 지원(미리 보기)

이제 AI 보안 태세 관리 일반 공급(GA)

클라우드용 Microsoft Defender 중요한 자산 보호

컨테이너에 대한 향상된 중요 자산 보호

컨테이너 위협을 감지하고 대응하는 향상된 기능

Kubernetes Pod에 대한 클라우드 네이티브 응답 작업 소개(미리 보기)

컨테이너에 대한 위협 분석 보고서

Kubernetes Pod 및 Azure 리소스를 위한 GoHunt

Kubernetes Pod를 위한 Security Copilot 단계별 대응

Defender CSPM 내 API 보안 상태 관리 네이티브 통합은 현재 공개 미리 보기로 제공됩니다.

AKS 노드에 대한 취약성 평가 및 맬웨어 검색을 사용하여 향상된 컨테이너 보호(미리 보기)

Vulnerability Assessment

Malware detection

향상된 Kubernetes(K8s) 경고 설명서 및 시뮬레이션 도구

Key features

Benefits

API 중요한 데이터 분류에 대한 향상된 지원

Azure API Management API 엔드포인트를 백 엔드 컴퓨팅에 매핑하기 위한 새로운 지원

다중 지역 Azure API Management 배포 및 API 수정 버전 관리에 대한 향상된 API 보안 지원

October 2024

이제 MMA 마이그레이션 환경을 사용할 수 있습니다.

GitHub Advanced Security가 없는 GitHub 리포지토리에 대한 보안 결과는 이제 GA입니다.

세 가지 규정 준수 표준 사용 중단

세 가지 클라우드용 Defender 표준 사용 중단

GA로 릴리스된 이진 드리프트 감지

업데이트된 컨테이너 런타임 권장 사항(미리 보기)

보안 그래프의 Kubernetes ID 및 액세스 정보(미리 보기)

Kubernetes ID 및 액세스 정보 기반 공격 경로(미리 보기)

컨테이너에 대한 공격 경로 분석 개선

지원되는 레지스트리에서 컨테이너 이미지의 전체 검색

Cloud Security Explorer를 사용하는 컨테이너 소프트웨어 인벤토리

September 2024

클라우드 보안 탐색기 환경 개선 사항

엔드포인트용 Microsoft Defender 기반 파일 무결성 모니터링 일반 공급

클라우드용 Defender에서 FIM 마이그레이션 환경 사용 가능

MMA 자동 프로비저전 기능 사용 중단

Power BI와 통합

CSPM 멀티클라우드 네트워크 요구 사항 업데이트

서버용 Defender 기능 사용 중단

Azure용 규정 준수 대시보드에 추가된 스페인어 국가 보안 인증 제도(Esquema Nacional de Seguridad(ENS))

사용자 컴퓨터에서 시스템 업데이트 및 패치 권장 사항을 조치하세요.

이제 구성 준수 모듈이 ServiceNow 통합에 포함됩니다

새 구독에 사용할 수 없는 스토리지용 Defender(클래식) 트랜잭션별 스토리지 보호 계획

이제 Azure Policy 게스트 구성 일반 공급(GA)

Defender for Containers의 Docker Hub 컨테이너 레지스트리 지원에 대한 미리 보기

August 2024

새 버전의 엔드포인트용 Microsoft Defender 기반 파일 무결성 모니터링

Azure WAF 경고와 클라우드용 Defender 경고 통합 사용 중지