다음을 통해 공유

클라우드용 Microsoft Defender 앱 파일럿 및 배포

  • 아티클

적용 대상:

  • Microsoft Defender XDR

이 문서에서는 조직에서 클라우드용 Microsoft Defender 앱을 파일럿하고 배포하기 위한 워크플로를 제공합니다. 이러한 권장 사항을 사용하여 Microsoft Defender for Cloud Apps를 개별 사이버 보안 도구 또는 Microsoft Defender XDR을 사용하는 엔드 투 엔드 솔루션의 일부로 온보딩할 수 있습니다.

이 문서에서는 프로덕션 Microsoft 365 테넌트가 있으며 이 환경에서 클라우드용 Microsoft Defender 앱을 파일럿하고 배포하고 있다고 가정합니다. 이 방법은 전체 배포를 위해 파일럿 중에 구성하는 모든 설정 및 사용자 지정을 유지 관리합니다.

Office 365용 Defender는 위반으로 인한 비즈니스 피해를 방지하거나 줄여 제로 트러스트 아키텍처에 기여합니다. 자세한 내용은 Microsoft 제로 트러스트 채택 프레임워크의 위반 비즈니스로 인한 비즈니스 손상 방지 또는 줄이기 시나리오를 참조하세요.

Microsoft Defender XDR용 엔드 투 엔드 배포

이 문서는 인시던트 조사 및 대응을 포함하여 Microsoft Defender XDR의 구성 요소를 배포하는 데 도움이 되는 시리즈의 문서 5/6입니다.

파일럿 및 Microsoft Defender XDR 프로세스 배포의 클라우드용 Microsoft Defender 앱을 보여 주는 다이어그램.

이 시리즈의 문서:

단계 링크
대답. 파일럿 시작 파일럿 시작
B. Microsoft Defender XDR 구성 요소 파일럿 및 배포 - Defender for Identity 파일럿 및 배포

- Office 365용 Defender 파일럿 및 배포

- 엔드포인트용 Defender 파일럿 및 배포

- 클라우드용 Microsoft Defender 앱 파일럿 및 배포 (이 문서)
C. 위협 조사 및 대응 인시던트 조사 및 대응 연습

Defender for Cloud Apps에 대한 파일럿 및 배포 워크플로

다음 다이어그램에서는 IT 환경에 제품 또는 서비스를 배포하는 일반적인 프로세스를 보여 줍니다.

파일럿, 평가 및 전체 배포 채택 단계의 다이어그램

먼저 제품 또는 서비스를 평가하고 조직 내에서 어떻게 작동하는지 평가합니다. 그런 다음 테스트, 학습 및 사용자 지정을 위해 프로덕션 인프라의 작은 하위 집합으로 제품 또는 서비스를 파일럿합니다. 그런 다음 전체 인프라 또는 조직이 적용될 때까지 배포 범위를 점진적으로 늘입니다.

프로덕션 환경에서 Defender for Cloud Apps를 파일럿하고 배포하기 위한 워크플로는 다음과 같습니다.

클라우드용 Microsoft Defender 앱의 파일럿 및 배포 워크플로를 보여 주는 다이어그램

다음 단계를 따릅니다.

  1. Defender for Cloud Apps 포털에 연결
  2. 엔드포인트용 Microsoft Defender와 통합
  3. 방화벽 및 기타 프록시에 로그 수집기 배포
  4. 파일럿 그룹 만들기
  5. 클라우드 앱 검색 및 관리
  6. 조건부 액세스 앱 제어 구성
  7. 클라우드 앱에 세션 정책 적용
  8. 추가 기능 사용해 보기

각 배포 단계에 권장되는 단계는 다음과 같습니다.

배포 단계 설명
평가 Defender for Cloud Apps에 대한 제품 평가를 수행합니다.
파일럿 프로덕션 환경에서 적합한 클라우드 앱 하위 집합에 대해 1-4단계 및 5-8단계를 수행합니다.
배포 후 나머지 클라우드 앱에 대해 5-8단계를 수행하여 파일럿 사용자 그룹에 대한 범위를 조정하거나 파일럿을 넘어 확장하고 모든 사용자 계정을 포함하도록 사용자 그룹을 추가합니다.

해커로부터 조직 보호

Defender for Cloud Apps는 자체적으로 강력한 보호를 제공합니다. 그러나 Microsoft Defender XDR의 다른 기능과 결합된 경우 Defender for Cloud Apps는 공유 신호에 데이터를 제공하여 공격을 중지하는 데 도움이 됩니다.

다음은 사이버 공격의 예와 Microsoft Defender XDR의 구성 요소가 이를 감지하고 완화하는 데 도움이 되는 방법입니다.

Microsoft Defender XDR이 위협 체인을 중지하는 방법을 보여 주는 다이어그램

Defender for Cloud Apps는 불가능한 이동, 자격 증명 액세스 및 비정상적인 다운로드, 파일 공유 또는 메일 전달 활동과 같은 비정상적인 동작을 감지하고 이러한 동작을 Defender for Cloud Apps 포털에 표시합니다. 또한 Defender for Cloud Apps는 해커의 횡적 이동과 중요한 데이터의 반출을 방지하는 데 도움이 됩니다.

Microsoft Defender XDR은 모든 Microsoft Defender 구성 요소의 신호를 상호 연결하여 전체 공격 스토리를 제공합니다.

DEFENDER for Cloud Apps 역할(CASB)

CASB(클라우드 액세스 보안 브로커)는 사용자가 어디에 있든 사용 중인 디바이스에 관계없이 엔터프라이즈 사용자와 사용하는 클라우드 리소스 간에 실시간으로 액세스를 중개하는 게이트키퍼 역할을 합니다. Defender for Cloud Apps는 조직의 클라우드 앱에 대한 CASB입니다. Defender for Cloud Apps는 기본적으로 Microsoft Defender XDR을 비롯한 Microsoft 보안 기능과 통합됩니다.

Defender for Cloud Apps가 없으면 조직에서 사용하는 클라우드 앱은 관리되지 않고 보호되지 않습니다.

조직에서 관리 및 보호하지 않는 클라우드 앱을 보여 주는 다이어그램

이 그림의 내용

  • 조직에서 클라우드 앱을 사용하는 것은 모니터링되지 않으며 보호되지 않습니다.
  • 이 사용은 관리되는 조직 내에서 수행되는 보호 범위를 벗어났습니다.

사용자 환경에서 사용되는 클라우드 앱을 검색하려면 다음 방법 중 하나 또는 둘 다를 구현할 수 있습니다.

  • 엔드포인트용 Microsoft Defender와 통합하여 Cloud Discovery를 빠르게 시작하고 실행합니다. 이 네이티브 통합을 사용하면 Windows 10 및 Windows 11 디바이스의 네트워크 내/오프라인에서 클라우드 트래픽에 대한 데이터 수집을 즉시 시작할 수 있습니다.
  • 네트워크에 연결된 모든 디바이스에서 액세스하는 모든 클라우드 앱을 검색하려면 방화벽 및 기타 프록시에 Defender for Cloud Apps 로그 수집기를 배포합니다. 이 배포는 엔드포인트에서 데이터를 수집하고 분석을 위해 Defender for Cloud Apps로 보냅니다. Defender for Cloud Apps는 기본적으로 더 많은 기능을 위해 일부 타사 프록시와 통합됩니다.

이 문서에는 두 방법 모두에 대한 지침이 포함되어 있습니다.

1단계. Defender for Cloud Apps 포털에 연결

라이선스를 확인하고 Defender for Cloud Apps 포털에 연결하려면 빠른 시작: 클라우드용 Microsoft Defender 앱 시작을 참조하세요.

포털에 즉시 연결할 수 없는 경우 방화벽의 허용 목록에 IP 주소를 추가해야 할 수 있습니다. 클라우드용 Defender 앱에 대한 기본 설정을 참조하세요.

여전히 문제가 있는 경우 네트워크 요구 사항을 검토하세요.

2단계: 엔드포인트용 Microsoft Defender와 통합

클라우드용 Microsoft Defender 앱은 기본적으로 엔드포인트용 Microsoft Defender와 통합됩니다. 통합은 Cloud Discovery의 롤아웃을 간소화하고, 회사 네트워크를 넘어 Cloud Discovery 기능을 확장하며, 디바이스 기반 조사를 가능하게 합니다. 이 통합은 IT 관리형 Windows 10 및 Windows 11 디바이스에서 액세스하는 클라우드 앱 및 서비스를 보여줍니다.

엔드포인트용 Microsoft Defender를 이미 설정한 경우 클라우드용 Defender 앱과의 통합 구성은 Microsoft Defender XDR의 토글입니다. 통합이 켜져 있으면 Defender for Cloud Apps 포털로 돌아가서 Cloud Discovery 대시보드에서 풍부한 데이터를 볼 수 있습니다.

이러한 작업을 수행하려면 Microsoft Defender for Cloud Apps와 엔드포인트용 Microsoft Defender 통합을 참조하세요.

3단계: 방화벽 및 기타 프록시에 Defender for Cloud Apps 로그 수집기 배포

네트워크에 연결된 모든 디바이스에서 적용하려면 방화벽 및 기타 프록시에 Defender for Cloud Apps 로그 수집기를 배포하여 엔드포인트에서 데이터를 수집하고 분석을 위해 Defender for Cloud Apps로 보냅니다.

다음 SWG(Secure Web Gateway) 중 하나를 사용하는 경우 Defender for Cloud Apps는 원활한 배포 및 통합을 제공합니다.

  • Zscaler
  • iboss
  • 코라타 주
  • Menlo 보안

이러한 네트워크 디바이스와 통합하는 방법에 대한 자세한 내용은 Cloud Discovery 설정을 참조하세요.

4단계. 파일럿 그룹 만들기 - 파일럿 배포를 특정 사용자 그룹으로 범위 지정

클라우드용 Microsoft Defender 앱을 사용하면 배포 범위를 지정할 수 있습니다. 범위 지정을 사용하면 앱에 대해 모니터링하거나 모니터링에서 제외할 특정 사용자 그룹을 선택할 수 있습니다. 사용자 그룹을 포함하거나 제외할 수 있습니다. 파일럿 배포의 범위를 지정하려면 범위 지정 배포를 참조하세요.

5단계. 클라우드 앱 검색 및 관리

Defender for Cloud Apps에서 최대 보호 용량을 제공하려면 조직의 모든 클라우드 앱을 검색하고 사용 방법을 관리해야 합니다.

클라우드 앱 검색

클라우드 앱 사용을 관리하는 첫 번째 단계는 조직에서 사용하는 클라우드 앱을 검색하는 것입니다. 다음 다이어그램에서는 클라우드 검색이 Defender for Cloud Apps에서 작동하는 방식을 보여 줍니다.

클라우드 검색을 사용하는 클라우드용 Microsoft Defender 앱의 아키텍처를 보여 주는 다이어그램

이 그림에는 네트워크 트래픽을 모니터링하고 조직에서 사용하는 클라우드 앱을 검색하는 데 사용할 수 있는 두 가지 방법이 있습니다.

  1. Cloud App Discovery는 기본적으로 엔드포인트용 Microsoft Defender와 통합됩니다. 엔드포인트용 Defender는 IT 관리형 Windows 10 및 Windows 11 디바이스에서 액세스되는 클라우드 앱 및 서비스를 보고합니다.

  2. 네트워크에 연결된 모든 디바이스에서 적용하려면 방화벽 및 기타 프록시에 Defender for Cloud Apps 로그 수집기를 설치하여 엔드포인트에서 데이터를 수집합니다. 수집기는 분석을 위해 이 데이터를 Defender for Cloud Apps로 보냅니다.

Cloud Discovery 대시보드를 보고 조직에서 어떤 앱이 사용되고 있는지 확인합니다.

Cloud Discovery 대시보드는 조직에서 클라우드 앱이 사용되는 방식에 대한 더 많은 인사이트를 제공하도록 설계되었습니다. 어떤 종류의 앱이 사용되고 있는지, 열려 있는 경고 및 조직의 앱 위험 수준에 대한 개요를 한눈에 확인할 수 있습니다.

Cloud Discovery 대시보드 사용을 시작하려면 검색된 앱 작업을 참조하세요.

클라우드 앱 관리

클라우드 앱을 검색하고 조직에서 이러한 앱을 사용하는 방법을 분석한 후 선택한 클라우드 앱 관리를 시작할 수 있습니다.

클라우드 앱을 관리하기 위한 Microsoft Defender for Cloud Apps의 아키텍처를 보여 주는 다이어그램

이 그림의 내용:

  • 일부 앱은 사용이 허가됩니다. 제재는 앱을 관리하기 시작하는 간단한 방법입니다.
  • 앱 커넥터와 앱을 연결하여 더 큰 가시성 및 제어를 사용하도록 설정할 수 있습니다. 앱 커넥터는 앱 공급자의 API를 사용합니다.

앱을 제재, 허가 취소 또는 완전히 차단하여 앱 관리를 시작할 수 있습니다. 앱 관리를 시작하려면 검색된 앱 관리를 참조하세요.

6단계. 조건부 액세스 앱 제어 구성

구성할 수 있는 가장 강력한 보호 중 하나는 조건부 액세스 앱 제어입니다. 이 보호를 사용하려면 Microsoft Entra ID와 통합해야 합니다. 이를 통해 승인한 클라우드 앱에 관련 정책(예: 정상 디바이스 필요)을 포함한 조건부 액세스 정책을 적용할 수 있습니다.

다단계 인증 및 기타 조건부 액세스 정책을 적용하기 위해 Microsoft Entra 테넌트에 SaaS 앱이 이미 추가되었을 수 있습니다. 클라우드용 Microsoft Defender 앱은 기본적으로 Microsoft Entra ID와 통합됩니다. Defender for Cloud Apps에서 조건부 액세스 앱 제어를 사용하도록 Microsoft Entra ID에서 정책을 구성하기만 하면 됩니다. 이렇게 하면 Defender for Cloud Apps를 통해 이러한 관리되는 SaaS 앱에 대한 네트워크 트래픽을 프록시로 라우팅하므로 Defender for Cloud Apps에서 이 트래픽을 모니터링하고 세션 제어를 적용할 수 있습니다.

재작업 그림

SaaS 앱을 사용하는 클라우드용 Microsoft Defender 앱의 아키텍처를 보여 주는 다이어그램

이 그림의 내용:

  • SaaS 앱은 Microsoft Entra 테넌트와 통합됩니다. 이 통합을 통해 Microsoft Entra ID는 다단계 인증을 비롯한 조건부 액세스 정책을 적용할 수 있습니다.
  • SaaS 앱의 트래픽을 Defender for Cloud Apps로 전송하는 정책이 Microsoft Entra ID에 추가됩니다. 정책은 이 정책을 적용할 SaaS 앱을 지정합니다. Microsoft Entra ID가 이러한 SaaS 앱에 적용되는 조건부 액세스 정책을 적용한 후 Microsoft Entra ID는 Defender for Cloud Apps를 통해 세션 트래픽을 지시(프록시)합니다.
  • Defender for Cloud Apps는 이 트래픽을 모니터링하고 관리자가 구성한 모든 세션 제어 정책을 적용합니다.

Microsoft Entra ID에 추가되지 않은 클라우드용 Defender 앱을 사용하여 클라우드 앱을 검색하고 승인했을 수 있습니다. 이러한 클라우드 앱을 Microsoft Entra 테넌트 및 조건부 액세스 규칙의 범위에 추가하여 조건부 액세스 앱 제어를 활용할 수 있습니다.

클라우드용 Microsoft Defender 앱을 사용하여 SaaS 앱을 관리하는 첫 번째 단계는 이러한 앱을 검색한 다음 Microsoft Entra 테넌트에서 추가하는 것입니다. 검색에 대한 도움이 필요한 경우 네트워크에서 SaaS 앱 검색 및 관리를 참조하세요. 앱을 검색한 후 Microsoft Entra 테넌트에서 이러한 앱을 추가합니다.

다음 작업을 사용하여 이러한 앱을 관리할 수 있습니다.

  1. Microsoft Entra ID에서 새 조건부 액세스 정책을 만들고 "조건부 액세스 앱 제어 사용"으로 구성합니다. 이 구성은 요청을 Defender for Cloud Apps로 리디렉션하는 데 도움이 됩니다. 하나의 정책을 만들고 이 정책에 모든 SaaS 앱을 추가할 수 있습니다.
  2. 다음으로, Defender for Cloud Apps에서 세션 정책을 만듭니다. 적용하려는 각 컨트롤에 대해 하나의 정책을 만듭니다.

지원되는 앱 및 클라이언트를 포함한 자세한 내용은 Microsoft Defender for Cloud Apps 조건부 액세스 앱 제어를 사용하여 앱 보호를 참조하세요.

예제 정책은 SaaS 앱에 대한 권장 Microsoft Defender for Cloud Apps 정책을 참조하세요. 이러한 정책은 모든 고객의 시작점으로 권장되는 공통 ID 및 디바이스 액세스 정책 집합을 기반으로 합니다.

7단계. 클라우드 앱에 세션 정책 적용

Microsoft Defender for Cloud Apps는 역방향 프록시 역할을 하며, 승인된 클라우드 앱에 대한 프록시 액세스를 제공합니다. 이 프로비저닝을 통해 Defender for Cloud Apps는 사용자가 구성하는 세션 정책을 적용할 수 있습니다.

프록시 액세스 세션 제어가 있는 클라우드용 Microsoft Defender 앱의 아키텍처를 보여 주는 다이어그램

이 그림의 내용

  • 조직의 사용자 및 디바이스에서 승인된 클라우드 앱에 대한 액세스는 Defender for Cloud Apps를 통해 라우팅됩니다.
  • 이 프록시 액세스를 사용하면 세션 정책을 적용할 수 있습니다.
  • 승인되지 않았거나 명시적으로 허가되지 않은 클라우드 앱은 영향을 받지 않습니다.

세션 정책을 사용하면 조직에서 클라우드 앱을 사용하는 방법에 매개 변수를 적용할 수 있습니다. 예를 들어 조직에서 Salesforce를 사용하는 경우 관리되는 디바이스만 Salesforce에서 조직의 데이터에 액세스할 수 있도록 허용하는 세션 정책을 구성할 수 있습니다. 더 간단한 예제는 더 엄격한 정책을 적용하기 전에 이 트래픽의 위험을 분석할 수 있도록 관리되지 않는 디바이스의 트래픽을 모니터링하는 정책을 구성하는 것입니다.

자세한 내용은 세션 정책 만들기를 참조하세요.

8단계. 추가 기능 사용해 보기

다음 Defender for Cloud Apps 자습서를 사용하여 위험을 검색하고 환경을 보호할 수 있습니다.

Microsoft Defender for Cloud Apps 데이터의 고급 헌팅에 대한 자세한 내용은 이 비디오를 참조하세요.

SIEM 통합

Defender for Cloud Apps를 Microsoft Sentinel 또는 일반 SIEM(보안 정보 및 이벤트 관리) 서비스와 통합하여 연결된 앱의 경고 및 활동을 중앙 집중식으로 모니터링할 수 있습니다. Microsoft Sentinel을 사용하면 조직 전체에서 보안 이벤트를 보다 포괄적으로 분석하고 효과적이고 즉각적인 대응을 위해 플레이북을 빌드할 수 있습니다.

SIEM 통합을 사용하는 클라우드용 Microsoft Defender 앱의 아키텍처를 보여 주는 다이어그램

Microsoft Sentinel에는 Defender for Cloud Apps 커넥터가 포함되어 있습니다. 이를 통해 클라우드 앱에 대한 가시성을 얻을 뿐만 아니라 정교한 분석을 통해 사이버 위협을 식별하고 방지하고 데이터 이동 방식을 제어할 수 있습니다. 자세한 내용은 Microsoft Sentinel 통합 및 클라우드 용 Defender 앱에서 Microsoft Sentinel로 경고 및 Cloud Discovery 로그 스트리밍을 참조하세요.

타사 SIEM 시스템과의 통합에 대한 자세한 내용은 일반 SIEM 통합을 참조하세요.

다음 단계

Defender for Cloud Apps에 대한 수명 주기 관리를 수행합니다.

Microsoft Defender XDR의 엔드 투 엔드 배포를 위한 다음 단계

Microsoft Defender XDR을 사용하여 조사 및 응답을 사용하여 Microsoft Defender XDR의 엔드 투 엔드 배포를 계속합니다.

파일럿 및 Microsoft Defender XDR 프로세스 배포의 인시던트 조사 및 대응을 보여 주는 다이어그램

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.