Microsoft Defender XDR 파일럿 및 배포

적용 대상:

• Microsoft Defender XDR

이 일련의 문서에서는 프로덕션 테넌트에서 Microsoft Defender XDR의 구성 요소를 파일럿하는 전체 프로세스를 안내하여 해당 기능과 기능을 평가한 다음 조직 전체에서 배포를 완료할 수 있도록 합니다.

XDR(eXtended 검색 및 대응) 솔루션은 한때 격리된 시스템에서 위협 데이터를 가져와 패턴을 보고 의심스러운 사이버 공격에 더 빠르게 대응할 수 있도록 통합하기 때문에 사이버 보안에서 한 걸음 더 나아갑니다.

Microsoft Defender XDR:

• 한 곳에서 ID, 엔드포인트, 이메일 및 클라우드 앱에 대한 사이버 공격에 대한 정보를 결합하는 XDR 솔루션입니다. AI(인공 지능) 및 자동화를 활용하여 일부 유형의 공격을 자동으로 중지하고 영향을 받는 자산을 안전한 상태로 수정합니다.

• 클라우드 기반 통합, 사전 및 위반 후 엔터프라이즈 방어 제품군입니다. ID, 엔드포인트, 이메일, 클라우드 앱 및 해당 데이터에 대한 방지, 검색, 조사 및 응답을 조정합니다.

• 위협 방지 및 검색을 제공하여 강력한 제로 트러스트 아키텍처에 기여합니다. 위반으로 인한 비즈니스 피해를 방지하거나 줄이는 데 도움이 됩니다. 자세한 내용은 Microsoft 제로 트러스트 채택 프레임워크의 위협 방지 및 XDR 비즈니스 구현 시나리오를 참조하세요.

Microsoft Defender XDR 구성 요소 및 아키텍처

이 표에는 Microsoft Defender XDR의 구성 요소가 나열되어 있습니다.

구성 요소	설명	자세한 내용
ID용 Microsoft Defender	온-프레미스 AD DS(Active Directory Domain Services) 및 AD FS(Active Directory Federation Services)의 신호를 사용하여 조직을 대상으로 하는 고급 위협, 손상된 ID 및 악의적인 내부자 작업을 식별, 감지 및 조사합니다.	Microsoft Defender for Identity란?
Exchange Online Protection	스팸 및 맬웨어로부터 조직을 보호하는 데 도움이 되는 네이티브 클라우드 기반 SMTP 릴레이 및 필터링 서비스입니다.	EOP(Exchange Online Protection) 개요 - Office 365
Office 365용 Microsoft Defender	전자 메일 메시지, 링크(URL) 및 공동 작업 도구로 인한 악의적인 위협으로부터 조직을 보호합니다.	Office 365용 Microsoft Defender - Office 365
엔드포인트용 Microsoft Defender	디바이스 보호, 위반 후 검색, 자동화된 조사 및 권장 응답을 위한 통합 플랫폼입니다.	엔드포인트용 Microsoft Defender - Windows 보안
Microsoft Defender for Cloud Apps	클라우드 앱에 대한 심층적인 가시성, 강력한 데이터 제어 및 향상된 위협 방지를 제공하는 포괄적인 SaaS 간 솔루션입니다.	Defender for Cloud Apps란?
Microsoft Entra ID 보호	수십억 번의 로그인 시도에서 위험 데이터를 평가하고 이 데이터를 사용하여 테넌트로의 각 로그인 위험을 평가합니다. 이 데이터는 조건부 액세스 정책을 구성하는 방법에 따라 계정 액세스를 허용하거나 방지하기 위해 Microsoft Entra ID에서 사용됩니다. Microsoft Entra ID Protection은 Microsoft Defender XDR과 별개이며 Microsoft Entra ID P2 라이선스에 포함되어 있습니다.	ID 보호란?

이 그림에서는 Microsoft Defender XDR 구성 요소의 아키텍처 및 통합을 보여 줍니다.

이 그림의 내용:

• Microsoft Defender XDR은 모든 Defender 구성 요소의 신호를 결합하여 도메인 간에 XDR을 제공합니다. 여기에는 통합 인시던트 큐, 공격 중지에 대한 자동화된 대응, 자체 복구(손상된 디바이스, 사용자 ID 및 사서함의 경우), 위협 간 헌팅 및 위협 분석이 포함됩니다.
• Office 365용 Microsoft Defender는 전자 메일 메시지, 링크 (URL) 및 공동 작업 도구로 인한 악의적인 위협으로부터 조직을 보호합니다. 이러한 활동으로 인한 신호를 Microsoft Defender XDR과 공유합니다. EOP(Exchange Online Protection)는 들어오는 전자 메일 및 첨부 파일에 대한 엔드 투 엔드 보호를 제공하기 위해 통합됩니다.
• Microsoft Defender for Identity는 AD FS 및 AD CS를 실행하는 AD DS 도메인 컨트롤러 및 서버에서 신호를 수집합니다. 이러한 신호를 사용하여 손상된 계정을 사용하여 온-프레미스 환경의 워크스테이션 간에 횡적으로 이동하는 해커로부터 보호하는 등 하이브리드 ID 환경을 보호합니다.
• 엔드포인트용 Microsoft Defender는 조직에서 관리하는 디바이스에서 신호를 수집하고 보호합니다.
• Microsoft Defender for Cloud Apps는 조직의 클라우드 앱 사용 신호를 수집하고 승인된 클라우드 앱과 허가되지 않은 클라우드 앱을 포함하여 IT 환경과 이러한 앱 간에 흐르는 데이터를 보호합니다.
• Microsoft Entra ID Protection은 수십억 번의 로그인 시도에서 위험 데이터를 평가하고 이 데이터를 사용하여 테넌트로의 각 로그인 위험을 평가합니다. 이 데이터는 조건 부 액세스 정책의 조건 및 제한에 따라 계정 액세스를 허용하거나 방지하기 위해 Microsoft Entra ID에서 사용됩니다. Microsoft Entra ID Protection은 Microsoft Defender XDR과 별개이며 Microsoft Entra ID P2 라이선스에 포함되어 있습니다.

Microsoft Defender XDR 구성 요소 및 SIEM 통합

Microsoft Defender XDR 구성 요소를 Microsoft Sentinel 또는 일반 SIEM(보안 정보 및 이벤트 관리) 서비스와 통합하여 연결된 앱의 경고 및 활동을 중앙 집중식으로 모니터링할 수 있습니다.

Microsoft Sentinel은 SIEM 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 기능을 제공하는 클라우드 네이티브 솔루션입니다. Microsoft Sentinel과 Microsoft Defender XDR 구성 요소는 조직이 최신 공격을 방어하는 데 도움이 되는 포괄적인 솔루션을 제공합니다.

Microsoft Sentinel에는 Microsoft Defender 구성 요소용 커넥터가 포함되어 있습니다. 이를 통해 클라우드 앱에 대한 가시성을 얻을 뿐만 아니라 정교한 분석을 통해 사이버 위협을 식별하고 방지하고 데이터 이동 방식을 제어할 수 있습니다. 자세한 내용은 Microsoft Sentinel 및 Microsoft Defender XDR에 대한 Microsoft Defender XDR 및 Microsoft Sentinel 통합및 통합 단계 개요를 참조하세요.

Microsoft Sentinel의 SOAR(Microsoft Sentinel GitHub 리포지토리의 플레이북에 대한 링크 포함)에 대한 자세한 내용은 Microsoft Sentinel에서 플레이북을 사용하여 위협 대응 자동화를 참조하세요.

타사 SIEM 시스템과의 통합에 대한 자세한 내용은 일반 SIEM 통합을 참조하세요.

Microsoft Defender XDR 및 예제 사이버 보안 공격

이 다이어그램은 일반적인 사이버 공격과 이를 감지하고 수정하는 데 도움이 되는 Microsoft Defender XDR의 구성 요소를 보여 줍니다.

사이버 공격은 조직 내 직원의 받은 편지함에 도착하는 피싱 전자 메일로 시작되며, 이 메일은 무의식적으로 이메일 첨부 파일을 엽니다. 이 첨부 파일은 맬웨어를 설치하여 중요한 데이터를 도용할 수 있는 일련의 공격 시도로 이어질 수 있습니다.

이 그림의 내용

• Office 365용 Microsoft Defender의 일부인 Exchange Online Protection은 피싱 이메일을 감지하고 메일 흐름 규칙(전송 규칙이라고도 함)을 사용하여 사용자의 받은 편지함에 도착하지 않도록 할 수 있습니다.
• Office 365용 Defender 는 안전한 첨부 파일을 사용하여 첨부 파일을 테스트하고 유해하다고 확인하므로 도착하는 메일은 사용자가 실행할 수 없거나 정책으로 인해 메일이 전혀 도착하지 않습니다.
• 엔드포인트용 Defender 는 조직에서 관리하는 디바이스에 악용될 수 있는 디바이스 및 네트워크 취약성을 검색합니다.
• Defender for Identity 는 권한 상승 또는 위험 수준이 높은 횡적 이동과 같은 갑작스런 온-프레미스 사용자 계정 변경을 기록해 둡니다. 또한 보안 팀의 수정을 위해 제약이 없는 Kerberos 위임과 같이 쉽게 악용되는 ID 문제에 대해 보고합니다.
• 클라우드용 Microsoft Defender 앱 은 불가능한 이동, 자격 증명 액세스 및 비정상적인 다운로드, 파일 공유 또는 메일 전달 활동과 같은 비정상적인 동작을 감지하고 보안 팀에 보고합니다.

Microsoft Defender XDR에 대한 파일럿 및 배포 프로세스

Microsoft는 다음 순서대로 Microsoft 365 Defender의 구성 요소를 사용하도록 설정하는 것이 좋습니다.

단계	링크
대답. 파일럿 시작	파일럿 시작
B. Microsoft Defender XDR 구성 요소 파일럿 및 배포	- Defender for Identity 파일럿 및 배포 - Office 365용 Defender 파일럿 및 배포 - 엔드포인트용 Defender 파일럿 및 배포 - 클라우드용 Microsoft Defender 앱 파일럿 및 배포
C. 위협 조사 및 대응	인시던트 조사 및 대응 연습

이 순서는 기능을 배포하고 구성하는 데 일반적으로 필요한 작업에 따라 기능의 가치를 빠르게 활용하도록 설계되었습니다. 예를 들어 Defender for Office 365는 엔드포인트용 Defender에 디바이스를 등록하는 데 걸리는 시간보다 적은 시간에 구성할 수 있습니다. 비즈니스 요구 사항에 맞게 구성 요소의 우선 순위를 지정합니다.

파일럿 시작

Microsoft는 Microsoft 365의 기존 프로덕션 구독에서 파일럿을 시작하여 실제 인사이트를 즉시 얻고 설정을 조정하여 Microsoft 365 테넌트의 현재 위협에 대해 작업할 것을 권장합니다. 경험을 쌓고 플랫폼에 익숙해지면 각 구성 요소의 사용을 한 번에 하나씩 전체 배포로 확장하기만 하면 됩니다.

대안은 Microsoft Defender XDR 평가판 랩 환경을 설정하는 것입니다. 그러나 이 환경에는 파일럿하는 동안 프로덕션 Microsoft 365 테넌트의 위협 또는 공격과 같은 실제 사이버 보안 정보가 표시되지 않으며 이 환경에서 프로덕션 테넌트로 보안 설정을 이동할 수 없습니다.

Microsoft 365 E5 평가판 라이선스 사용

Microsoft 365 E5가 없으며 파일럿을 위한 Microsoft 365 E5 평가판 라이선스를 활용하려는 경우:

1. 기존 Microsoft 365 테넌트 관리 포털에 로그인합니다.

2. 탐색 메뉴에서 서비스 구매 를 선택합니다.

3. Office 365 섹션에서 Office 365 E5 라이선스 아래의 세부 정보를 선택합니다.

   

4. 평가판 시작을 선택합니다.

   

5. 요청을 확인하고 지금 시도를 선택합니다.

   

기존 프로덕션 테넌트에서 Microsoft 365 E5 평가판 라이선스를 사용하는 파일럿을 사용하면 평가판이 만료되고 동등한 라이선스를 구매할 때 보안 설정 및 방법을 유지할 수 있습니다.

다음 단계

Microsoft Defender for Identity 파일럿 및 배포를 참조하세요.

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.