편집

보안 경고 관리 및 응답

  • 방법

클라우드용 Defender는 Azure, 하이브리드 및 다중 클라우드 리소스, 네트워크, 연결된 파트너 솔루션(예: 방화벽 및 엔드포인트 에이전트)에서 로그 데이터를 수집, 분석 및 통합합니다. 클라우드용 Defender는 로그 데이터를 사용하여 실제 위협을 감지하고 가양성 문제를 줄입니다. 우선 순위가 지정된 보안 경고 목록은 문제를 신속하게 조사하는 데 필요한 정보 및 공격을 해결하기 위해 수행해야 하는 단계와 함께 Cloud용 Defender에 표시됩니다.

이 문서에서는 클라우드용 Defender의 경고를 보고 처리하고 리소스를 보호하는 방법을 보여 줍니다.

보안 경고를 심사할 때는 경고 심각도에 따라 경고의 우선 순위를 지정하여 심각도가 더 높은 경고를 먼저 해결해야 합니다. 경고가 분류되는 방법에 대해 자세히 알아봅니다.

Microsoft Sentinel을 비롯한 SIEM 솔루션에 클라우드용 Microsoft Defender를 연결하고 선택한 도구의 경고를 사용할 수 있습니다. SIEM, SOAR 또는 IT 서비스 관리 솔루션으로 경고를 스트리밍하는 방법에 대해 자세히 알아봅니다.

필수 조건

필수 조건 및 요구 사항은 클라우드용 Defender 지원 매트릭스를 참조하세요.

보안 경고 관리

다음 단계를 수행합니다.

  1. Azure Portal에 로그인합니다.

  2. 클라우드용 Microsoft Defender>보안 경고으로 이동합니다.

    클라우드용 Microsoft Defender 개요 페이지의 보안 경고 페이지를 보여 주는 스크린샷.

  3. (선택 사항) 관련 필터를 사용하여 경고 목록을 필터링합니다. 필터 추가 옵션을 사용하여 추가 필터를 추가할 수 있습니다.

    경고 보기에 필터를 추가하는 방법을 보여 주는 스크린샷.

    선택한 필터에 따라 목록이 업데이트됩니다. 예를 들어 시스템의 잠재적 위반을 조사하고 있기 때문에 최근 24시간 동안 발생한 보안 경고를 해결하려고 할 수 있습니다.

보안 경고 조사

각 경고에는 조사에 도움이 되는 경고 관련 정보가 포함됩니다.

보안 경고를 조사하려면 다음을 수행합니다.

  1. 경고를 선택합니다. 사이드 창이 열리고 영향을 받는 모든 리소스 및 경고에 대한 설명이 표시됩니다.

    보안 경고의 개략적인 세부 정보 보기 스크린샷.

  2. 보안 경고에 대한 개략적인 정보를 검토합니다.

    • 경고 심각도, 상태 및 활동 시간
    • 검색된 정확한 활동을 설명하는 설명
    • 영향을 받는 리소스
    • MITRE ATT&CK 매트릭스의 활동 킬 체인 의도(해당하는 경우)

  3. 전체 세부 정보 보기를 선택합니다.

    오른쪽 창에는 문제를 조사하는 데 도움을 주도록 경고에 대한 자세한 정보를 포함하는 경고 세부 정보 탭(IP 주소, 파일, 프로세스 등)이 포함되어 있습니다.

    경고의 전체 세부 정보 페이지를 보여 주는 스크린샷.

    또한 오른쪽 창에는 작업 수행 탭이 있습니다. 이 탭을 사용하여 보안 경고와 관련된 추가 작업을 수행합니다. 작업은 다음과 같습니다.

    • 리소스 컨텍스트 검사 - 보안 경고를 지원하는 리소스의 활동 로그로 연결됩니다.
    • 위협 완화 - 보안 경고에 대하여 수동으로 수정할 수 있는 단계를 제공합니다.
    • 향후 공격 방지 - 공격 노출 영역을 줄이고 보안 상태를 강화하여 향후 공격을 방지하는 데 도움이 되는 보안 권장 사항을 제공합니다.
    • 자동 응답 트리거 - 보안 경고에 대한 대응으로 논리 앱을 트리거하는 옵션을 제공합니다.
    • 유사한 경고 표시 안 함 - 경고가 조직과 관련이 없는 경우 유사한 특성을 가진 경고는 표시하지 않는 옵션을 제공합니다.

    작업 수행 탭에서 사용할 수 있는 옵션을 보여 주는 스크린샷.

    자세한 내용은 리소스 소유자에게 문의하여 검색된 활동이 가양성인지 확인합니다. 또한 공격받은 리소스에 의해 생성된 원시 로그를 조사할 수도 있습니다.

여러 보안 경고의 상태를 한 번에 변경

경고 목록에는 확인란이 포함되어 있으므로 한 번에 여러 경고를 처리할 수 있습니다. 예를 들어, 심사를 위해 특정 리소스에 대한 모든 정보 경고를 해제하기로 결정할 수 있습니다.

  1. 일괄 처리하려는 경고에 따라 필터링합니다.

    이 예제에서는 리소스 ASC-AKS-CLOUD-TALK에 대한 심각도가 Informational인 경고가 선택되었습니다.

    관련 경고를 표시하기 위해 경고를 필터링하는 방법을 보여 주는 스크린샷.

  2. 확인란을 사용하여 처리할 경고를 선택합니다.

    이 예제에서는 모든 경고가 선택됩니다. 이제 상태 변경 단추를 사용할 수 있습니다.

    모든 경고를 선택하여 대량으로 처리하는 스크린샷.

  3. 상태 변경 옵션을 사용하여 원하는 상태를 설정합니다.

    보안 경고 상태 탭의 스크린샷.

    현재 페이지에 표시된 경고의 상태는 선택한 값으로 변경됩니다.

보안 경고에 대응

보안 경고를 조사한 후 클라우드용 Microsoft Defender 내에서 경고에 대응할 수 있습니다.

보안 경고에 대응하려면 다음을 수행합니다.

  1. 조치 수행 탭을 열고 권장 대응을 확인합니다.

    보안 경고 작업 취하기 탭의 스크린샷.

  2. 문제를 완화하는 데 필요한 수동 조사 단계에 대한 위협 완화 섹션을 검토합니다.

  3. 리소스를 강화하고 추후 이러한 종류의 공격을 방지하려면 추후 공격 방지 섹션에서 보안 권장 사항에 따라 수정하세요.

  4. 자동화된 응답 단계를 사용하여 논리 앱을 트리거하려면 자동화된 응답 트리거 섹션을 사용하고 논리 앱 트리거를 선택합니다.

  5. 검색된 활동이 악의적 활동이 아닌 경우 유사한 경고 표시 안 함 섹션을 사용하고 제거 규칙 만들기을 선택하여 향후 이러한 종류의 경고를 표시하지 않을 수 있습니다.

  6. 이메일 알림 설정 구성을 선택하여 이 구독의 보안 경고와 관련된 이메일을 수신하는 사용자를 확인합니다. 이메일 설정을 구성하려면 구독 소유자에게 문의하세요.

  7. 경고에 대한 조사를 완료하고 적절한 방식으로 응답한 후에는 상태를 해제됨으로 변경합니다.

    경고 상태 드롭다운 메뉴의 스크린샷.

    경고가 주 경고 목록에서 제거됩니다. 경고 목록 페이지의 필터를 사용하여 해제됨 상태의 모든 경고를 볼 수 있습니다.

  8. 경고에 대한 피드백을 Microsoft에 제공하는 것이 좋습니다.

    1. 경고를 유용함 또는 유용하지 않음으로 표시합니다.
    2. 이유를 선택하고 설명을 추가합니다.

    경고의 유용성을 선택할 수 있는 Microsoft에 피드백 제공 창의 스크린샷.

    보내주신 피드백은 알고리즘을 개선하고 보다 나은 보안 경고를 제공하는 데 사용됩니다.

    다양한 유형의 경고에 대해 자세히 알아보려면 보안 경고 - 참조 가이드를 참조하세요.

    클라우드용 Defender가 경고를 생성하는 방법에 대한 개요는 클라우드용 Microsoft Defender가 위협을 검색하고 대응하는 방법을 참조하세요.

    에이전트 없는 검사 결과 검토

    에이전트 기반 스캐너와 에이전트 없는 스캐너 모두에 대한 결과가 보안 경고 페이지에 표시됩니다.

    에이전트 기반 검사와 에이전트 없는 검사 결과를 모두 보여 주는 보안 경고 페이지의 스크린샷.

    참고 항목

    이러한 경고 중 하나를 수정하면 다음 검사가 완료될 때까지 다른 경고가 수정되지 않습니다.

관련 콘텐츠