클라우드용 Defender Apps이 AWS(Amazon Web Services) 환경을 보호하는 방법

Amazon Web Services는 조직에서 클라우드에서 전체 워크로드를 호스트하고 관리할 수 있도록 하는 IaaS 공급자입니다. 클라우드에서 인프라를 활용하는 이점과 함께 조직의 가장 중요한 자산은 위협에 노출될 수 있습니다. 노출된 자산에는 잠재적으로 중요한 정보가 있는 스토리지 인스턴스, 조직에 액세스할 수 있는 가장 중요한 애플리케이션, 포트 및 가상 사설망 중 일부를 운영하는 컴퓨팅 리소스가 포함됩니다.

클라우드용 DEFENDER 앱에 AWS를 커넥트 관리 및 로그인 활동을 모니터링하고, 가능한 무차별 암호 대입 공격, 권한 있는 사용자 계정의 악의적인 사용, VM의 비정상적인 삭제 및 공개적으로 노출된 스토리지 버킷에 대한 알림을 제공하여 자산을 보호하고 잠재적인 위협을 감지하는 데 도움이 됩니다.

주요 위협

• 클라우드 리소스 남용
• 손상된 계정 및 내부자 위협
• 데이터 유출
• 리소스 구성이 잘못되었으며 액세스 제어가 부족합니다.

클라우드용 Defender 앱이 환경을 보호하는 데 도움이 되는 방법

• 클라우드 위협, 손상된 계정 및 악의적인 내부자 검색
• 공유 데이터의 노출 제한 및 공동 작업 정책 적용
• 포렌식 조사를 위해 활동의 감사 내역 사용

기본 제공 정책 및 정책 템플릿을 사용하여 AWS 제어

다음 기본 제공 정책 템플릿을 사용하여 잠재적 위협을 감지하고 알릴 수 있습니다.

Type	이름
활동 정책 템플릿	관리 콘솔 로그인 실패 CloudTrail 구성 변경 EC2 인스턴스 구성 변경 IAM 정책 변경 위험한 IP 주소에서 로그온 ACL(네트워크 액세스 제어 목록) 변경 내용 네트워크 게이트웨이 변경 내용 S3 구성 변경 내용 보안 그룹 구성 변경 가상 프라이빗 네트워크 변경 내용
기본 제공 변칙 검색 정책	익명 IP 주소에서의 활동 자주 사용되지 않는 국가에서의 활동 의심스러운 IP 주소에서의 활동 이동 불가능 종료된 사용자가 수행한 작업(IdP로 Microsoft Entra ID 필요) 여러 번의 로그인 시도 실패 비정상적인 관리 활동 비정상적인 여러 스토리지 삭제 작업 (미리 보기) 복수 삭제 VM 작업 비정상적인 여러 VM 만들기 작업 (미리 보기) 클라우드 리소스 에 대한 비정상적인 지역(미리 보기)
파일 정책 템플릿	S3 버킷은 공개적으로 액세스할 수 있습니다.

정책 만들기에 대한 자세한 내용은 정책 만들기를 참조하세요.

거버넌스 제어 자동화

잠재적인 위협에 대한 모니터링 외에도 다음 AWS 거버넌스 작업을 적용하고 자동화하여 검색된 위협을 수정할 수 있습니다.

Type	작업
사용자 거버넌스	- 사용자에게 경고 알림(Microsoft Entra ID를 통해) - 사용자가 다시 로그인하도록 요구(Microsoft Entra ID를 통해) - 사용자 일시 중단(Microsoft Entra ID를 통해)
데이터 거버넌스	- S3 버킷 비공개로 만들기 - S3 버킷에 대한 공동 작업자 제거

앱에서 위협을 수정하는 방법에 대한 자세한 내용은 연결된 앱 관리를 참조하세요.

실시간으로 AWS 보호

관리되지 않거나 위험한 디바이스에 대한 중요한 데이터의 다운로드를 차단하고 보호하는 모범 사례를 검토합니다.

Amazon Web Services를 클라우드용 Microsoft Defender 앱에 커넥트

이 섹션에서는 커넥터 API를 사용하여 기존 AWS(Amazon Web Services) 계정을 클라우드용 Microsoft Defender 앱에 연결하는 지침을 제공합니다. 클라우드용 Defender 앱이 AWS를 보호하는 방법에 대한 자세한 내용은 AWS 보호를 참조하세요.

AWS 보안 감사를 클라우드용 Defender 앱 연결에 연결하여 AWS 앱 사용을 파악하고 제어할 수 있습니다.

1단계: Amazon Web Services 감사 구성

1. Amazon Web Services 콘솔의 보안, ID 및 규정 준수 아래에서 IAM을 선택합니다.

   

2. 사용자를 선택한 다음 사용자 추가를 선택합니다.

   

3. 세부 정보 단계에서 클라우드용 Defender 앱에 대한 새 사용자 이름을 제공합니다. Access 유형에서 프로그래밍 방식 액세스를 선택하고 다음 사용 권한을 선택해야 합니다.

   

4. 기존 정책 연결을 직접 선택한 다음 정책 만들기를 선택합니다.

   

5. JSON 탭을 선택합니다.

   

6. 다음 스크립트를 제공된 영역에 붙여넣습니다.

   {
     "Version" : "2012-10-17",
     "Statement" : [{
         "Action" : [
           "cloudtrail:DescribeTrails",
           "cloudtrail:LookupEvents",
           "cloudtrail:GetTrailStatus",
           "cloudwatch:Describe*",
           "cloudwatch:Get*",
           "cloudwatch:List*",
           "iam:List*",
           "iam:Get*",
           "s3:ListAllMyBuckets",
           "s3:PutBucketAcl",
           "s3:GetBucketAcl",
           "s3:GetBucketLocation"
         ],
         "Effect" : "Allow",
         "Resource" : "*"
       }
     ]
    }
   

7. 다음 선택 : 태그

   

8. 완료되면 다음: 검토를 클릭합니다.

   

9. 이름을 제공하고 정책 만들기를 선택합니다.

   

10. 사용자 추가 화면으로 돌아가 필요한 경우 목록을 새로 고치고 만든 사용자를 선택하고 다음: 태그를 선택합니다.

    

11. 완료되면 다음: 검토를 클릭합니다.

12. 모든 세부 정보가 올바른 경우 사용자 만들기를 선택합니다.

    

13. 성공 메시지가 표시되면 .csv 다운로드를 선택하여 새 사용자의 자격 증명 복사본을 저장합니다. 나중에 필요합니다.

    

    참고 항목

    AWS를 연결한 후 연결 전 7일에 대한 이벤트를 받게 됩니다. CloudTrail을 사용하도록 설정한 경우 CloudTrail을 사용하도록 설정한 시점부터 이벤트를 받게 됩니다.

2단계: 클라우드용 Defender 앱에 대한 Amazon Web Services 감사 커넥트

1. Microsoft Defender 포털에서 설정 선택합니다. 그런 다음, Cloud Apps를 선택합니다. 커넥트 앱에서 앱 커넥트 선택합니다.

2. 앱 커넥터 페이지에서 AWS 커넥터 자격 증명을 제공하려면 다음 중 하나를 수행합니다.

   새 커넥터의 경우

   1. +커넥트 앱을 선택한 다음 Amazon Web Services를 선택합니다.

      

   2. 다음 창에서 커넥터의 이름을 입력한 다음, 다음을 선택합니다.

      

   3. 커넥트 Amazon Web Services 페이지에서 보안 감사를 선택한 다음, 다음을 선택합니다.

   4. 보안 감사 페이지에서 .csv 파일의 액세스 키와 비밀 키를 관련 필드에 붙여넣고 다음을 선택합니다.

      

   기존 커넥터의 경우

   1. 커넥터 목록의 AWS 커넥터가 표시되는 행에서 설정 편집을 선택합니다.

      

   2. 인스턴스 이름 및 커넥트 Amazon Web Services 페이지에서 다음을 선택합니다. 보안 감사 페이지에서 .csv 파일의 액세스 키와 비밀 키를 관련 필드에 붙여넣고 다음을 선택합니다.

      

3. Microsoft Defender 포털에서 설정 선택합니다. 그런 다음, Cloud Apps를 선택합니다. 커넥트 앱에서 앱 커넥트 선택합니다. 연결된 앱 커넥트or의 상태 커넥트 있는지 확인합니다.

다음 단계

정책을 사용하여 클라우드 앱 제어

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.