다음을 통해 공유


Microsoft Defender 포털의 클라우드용 Microsoft Defender

적용 대상:

클라우드용 Microsoft Defender 는 이제 Microsoft Defender XDR의 일부입니다. 이제 보안 팀은 Microsoft Defender 포털 내에서 클라우드용 Defender 경고 및 인시던트에 액세스하여 클라우드 리소스, 디바이스 및 ID에 걸친 조사에 보다 풍부한 컨텍스트를 제공할 수 있습니다. 또한 보안 팀은 경고 및 인시던트에 대한 즉각적인 상관 관계를 통해 클라우드 환경에서 발생하는 의심스럽고 악의적인 이벤트를 포함하여 공격에 대한 완전한 그림을 얻을 수 있습니다.

Microsoft Defender 포털은 보호, 검색, 조사 및 대응 기능을 결합하여 디바이스, 이메일, 공동 작업, ID 및 클라우드 앱에 대한 공격을 보호합니다. 포털의 검색 및 조사 기능은 이제 클라우드 엔터티로 확장되어 보안 운영 팀에게 운영 효율성을 크게 개선하기 위한 단일 창이 제공됩니다.

또한 클라우드용 Defender 인시던트 및 경고는 이제 Microsoft Defender XDR의 공개 API에 속합니다. 이 통합을 통해 단일 API를 사용하여 모든 시스템에 보안 경고 데이터를 내보낼 수 있습니다.

필수 구성 요소

Microsoft Defender 포털에서 클라우드용 Defender 경고에 액세스하려면 Azure 구독 연결에 나열된 플랜을 구독해야 합니다.

필요한 사용 권한

참고

클라우드용 Defender 경고 및 상관 관계를 볼 수 있는 권한은 전체 테넌트에서 자동으로 수행됩니다. 특정 구독에 대한 보기는 지원되지 않습니다. 경고 구독 ID 필터를 사용하여 경고 및 인시던트 큐에서 특정 클라우드용 Defender 구독과 연결된 클라우드용 Defender 경고를 볼 수 있습니다. 필터에 대해 자세히 알아보세요.

통합은 클라우드용 Defender에 적절한 Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어) 역할을 적용해야만 사용할 수 있습니다. Defender XDR 통합 RBAC 없이 클라우드용 Defender 경고 및 상관 관계를 보려면 Azure Active Directory의 전역 관리자 또는 보안 관리자여야 합니다.

중요

전역 관리자는 기존 역할을 사용할 수 없는 경우 시나리오로 제한해야 하는 높은 권한의 역할입니다. 사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 조직의 보안을 개선하는 데 도움이 됩니다.

Microsoft Defender 포털의 조사 환경

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

다음 섹션에서는 클라우드용 Defender 경고가 있는 Microsoft Defender 포털의 검색 및 조사 환경에 대해 설명합니다.

영역 설명
인시던트 클라우드용 모든 Defender 인시던트가 Microsoft Defender 포털에 통합됩니다.

- 인시던트 큐 에서 클라우드 리소스 자산 검색이 지원됩니다.
- 공격 스토리 그래프는 클라우드 리소스를 표시합니다.
- 인 시던트 페이지의 자산 탭 에 클라우드 리소스가 표시됩니다.
- 각 가상 머신에는 모든 관련 경고 및 활동이 포함된 자체 디바이스 페이지가 있습니다.

다른 Defender 워크로드의 인시던트가 중복되지 않습니다.
경고 다중 클라우드, 내부 및 외부 공급자의 경고를 포함한 모든 클라우드용 Defender 경고는 Microsoft Defender 포털에 통합됩니다. 클라우드용 Defender 경고는 Microsoft Defender 포털 경고 큐에 표시됩니다.

클라우드 리소스 자산은 경고의 자산 탭에 표시됩니다. 리소스는 Azure, Amazon 또는 Google Cloud 리소스로 명확하게 식별됩니다.

클라우드용 Defender 경고는 테넌트와 자동으로 연결됩니다.

다른 Defender 워크로드에서 경고가 중복되지 않습니다.
경고 및 인시던트 상관 관계 경고 및 인시던트가 자동으로 상호 연결되어 보안 운영 팀에 강력한 컨텍스트를 제공하여 클라우드 환경의 전체 공격 스토리를 이해합니다.
위협 검색 정밀하고 효과적인 위협 탐지를 보장하기 위해 가상 엔터티를 디바이스 엔터티와 정확하게 일치합니다.
통합 API 클라우드용 Defender 경고 및 인시던트가 이제 Microsoft Defender XDR의 공개 API에 포함되므로 고객은 하나의 API를 사용하여 보안 경고 데이터를 다른 시스템으로 내보낼 수 있습니다.
고급 헌팅(미리 보기) 조직의 클라우드용 Defender로 보호되는 다양한 클라우드 플랫폼에 대한 클라우드 감사 이벤트에 대한 정보는 고급 헌팅CloudAuditEvents 테이블을 통해 제공됩니다.

참고

클라우드용 Defender의 정보 경고는 관련성이 높고 심각도가 높은 경고에 집중할 수 있도록 Microsoft Defender 포털에 통합되지 않습니다. 이 전략은 인시던트 관리를 간소화하고 경고 피로를 줄입니다.

Microsoft Sentinel 사용자에게 미치는 영향

Microsoft Defender XDR 인시던트 통합 및 클라우드용 Defender 경고를 수집하는 Microsoft Sentinel 고객은 중복 경고 인시던트가 생성되지 않도록 다음 구성을 변경해야 합니다.

  • 테넌트 기반 클라우드용 Microsoft Defender(미리 보기) 커넥터를 연결하여 모든 구독의 경고 컬렉션을 Microsoft Defender XDR 인시던트 커넥터를 통해 스트리밍하는 테넌트 기반 클라우드용 Defender 인시던트와 동기화합니다.
  • 구독 기반 클라우드용 Microsoft Defender(레거시) 경고 커넥터의 연결을 끊어 경고 중복을 방지합니다.
  • 클라우드용 Defender 경고에서 인시던트 만들기에 사용되는 분석 규칙(예약됨(일반 쿼리 유형) 또는 Microsoft 보안(인시던트 생성) 규칙을 끕니다. 클라우드용 Defender 인시던트가 Defender 포털에서 자동으로 만들어지고 Microsoft Sentinel과 동기화됩니다.
  • 필요한 경우 자동화 규칙을 사용하여 시끄러운 인시던트 닫거나 Defender 포털의 기본 제공 튜닝 기능을 사용하여 특정 경고를 표시하지 않습니다.

다음 변경 내용도 유의해야 합니다.

  • 경고를 Microsoft Defender 포털 인시던트에 연결하는 작업이 제거됩니다.

Microsoft Defender XDR 통합을 사용하여 클라우드용 Microsoft Defender 인시던트 수집에서 자세히 알아보세요.

클라우드용 Defender 경고 끄기

클라우드용 Defender에 대한 경고는 기본적으로 켜져 있습니다. 구독 기반 설정을 유지하고 테넌트 기반 동기화를 방지하거나 환경에서 옵트아웃하려면 다음 단계를 수행합니다.

  1. Microsoft Defender 포털에서 설정>Microsoft Defender XDR로 이동합니다.
  2. 경고 서비스 설정에서 클라우드용 Microsoft Defender 경고를 찾습니다.
  3. 경고 없음을 선택하여 모든 클라우드용 Defender 경고를 끕니다. 이 옵션을 선택하면 포털에 대한 새 클라우드용 Defender 경고 수집이 중지됩니다. 이전에 수집한 경고는 경고 또는 인시던트 페이지에 남아 있습니다.

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.