클라우드용 Microsoft Defender 기준 만들기

  • 8분

클라우드용 Microsoft Defender는 Azure, 온-프레미스, 기타 클라우드에서 실행되는 워크로드에 대해 통합 보안 관리 및 지능형 위협 방지 기능을 제공합니다. 다음 클라우드용 Defender 권장 사항을 따르면 Azure 구독에 다양한 보안 정책이 설정됩니다. 이 정책은 Azure 구독을 사용하는 리소스에 권장되는 제어 집합을 정의합니다.

클라우드용 Microsoft Defender 보안 권장 사항

다음 섹션에서는 CIS Microsoft Azure Foundations 보안 벤치마크 v. 1.3.0에 있는 클라우드용 Microsoft Defender 권장 사항을 설명합니다. 각 권장 사항에는 Azure Portal에서 완료해야 하는 기본 단계가 포함되어 있습니다. 자신의 구독에 대해 이러한 단계를 완료하고 자신의 리소스를 사용하여 각 보안 권장 사항의 유효성을 검사해야 합니다. 수준 2 옵션은 일부 기능이나 작업을 제한할 수 있으므로, 적용할 보안 옵션을 신중하게 고려해야 합니다.

향상된 보안 기능 사용 - 수준 2

클라우드용 Microsoft Defender는 두 가지 모드, 즉 향상된 보안 기능이 없는(무료) 모드와 향상된 보안 기능이 있는 모드로 제공됩니다. 향상된 보안을 사용하도록 설정하면 무료 모드의 기능이 프라이빗 클라우드 및 기타 퍼블릭 클라우드에서 실행되는 워크로드로 확장됩니다. 향상된 보안 모드도 하이브리드 클라우드 워크로드 전반에 통합 보안 관리 및 고급 위협 방지 기능이 있습니다. 이 모드에는 다음과 같은 고급 위협 탐지 기능도 있습니다.

  • 공격 및 제로 데이 익스플로잇을 식별하기 위한 기본 제공 동작 분석 및 기계 학습.
  • 네트워크 공격 및 맬웨어에 대한 노출을 줄이기 위한 액세스 및 애플리케이션 제어.

모든 향상된 보안 기능을 갖춘 클라우드용 Microsoft Defender는 Microsoft 보안 대응 센터에서 제공되는 위협 탐지를 제공하고 다음에서 배포된 리소스를 지원합니다.

  • Azure Virtual Machines
  • 가상 머신 크기 집합
  • Azure App Service
  • Azure SQL Server
  • Azure Storage

  1. Azure Portal에 로그인합니다. 클라우드용 Microsoft Defender를 검색하여 선택합니다.

  2. 일반 아래의 왼쪽 메뉴에서 시작을 선택합니다.

  3. 업그레이드 탭을 선택한 다음 업그레이드할 구독을 선택합니다. 리소스 창에 보호될 리소스와 리소스당 청구 비용이 표시됩니다.

  4. 업그레이드 단추를 선택합니다.

    Screenshot that shows the getting started with Microsoft Defender for Cloud pane.

클라우드용 Microsoft Defender 기본 제공 보안 정책 보기

Azure 구독에 대한 클라우드용 Microsoft Defender 보안 정책을 보려면

  1. Azure Portal에 로그인합니다. 클라우드용 Microsoft Defender를 검색하여 선택합니다.

  2. 왼쪽 메뉴의 관리에서 환경 설정을 선택합니다.

  3. 구독을 선택하여 정책 설정 창을 엽니다.

Screenshot that shows the environment settings for Defender for Cloud.

사용하도록 설정된 정책은 다음 예제와 같이 클라우드용 Microsoft Defender 권장 사항을 정의합니다.

Screenshot that shows the built-in security policies for Defender for Cloud.

Log Analytics 에이전트의 자동 프로비저닝 사용 - 수준 1

자동 프로비저닝을 사용하도록 설정하면, 클라우드용 Defender는 지원되는 모든 Azure VM과 VM이 만든 새 VM에 Azure Log Analytics 에이전트를 설치합니다. 자동 프로비저닝을 사용하도록 설정하는 것이 좋습니다.

  1. Azure Portal에 로그인합니다. 클라우드용 Microsoft Defender를 검색하여 선택합니다.

  2. 일반 아래의 왼쪽 메뉴에서 시작을 선택합니다.

  3. 에이전트 설치 탭을 선택한 다음, 에이전트를 설치할 구독을 선택합니다.

  4. 에이전트 설치 단추를 선택합니다.

    Screenshot that shows the getting started pane and the Install agents tab.

시스템 업데이트 사용 - 수준 1

클라우드용 Microsoft Defender는 Windows 및 Linux VM과 컴퓨터에서 누락된 운영 체제 업데이트를 매일 모니터링합니다. 클라우드용 Defender가 Windows 업데이트 또는 WSUS(Windows Server Update Services)에서 사용 가능한 보안 및 중요 업데이트의 목록을 검색합니다. 목록에 있는 업데이트는 Windows 컴퓨터에서 구성하는 서비스에 따라 달라집니다. 클라우드용 Defender는 Linux 시스템에서 최신 업데이트도 확인합니다. VM 또는 컴퓨터에 누락된 시스템 업데이트가 있을 경우 클라우드용 Defender는 시스템 업데이트를 적용하도록 권장합니다.

  1. Azure Portal에 로그인합니다. 클라우드용 Microsoft Defender를 검색하여 선택합니다.

  2. 왼쪽 메뉴의 관리에서 환경 설정을 선택합니다.

  3. 구독을 선택합니다.

  4. 왼쪽 메뉴에서 보안 정책을 선택합니다.

  5. 기본 이니셔티브에서 구독 또는 관리 그룹을 선택합니다.

  6. 매개 변수 탭을 선택합니다.

  7. 입력 또는 검토가 필요한 매개 변수만 표시 상자가 선택되어 있지 않은지 확인합니다.

    Screenshot that shows the Parameters tab and the checkbox for Only show parameters that need input or review is cleared.

  8. 머신에 시스템 업데이트를 설치해야 합니다.가 나열된 정책 중 하나인지 확인합니다.

    다음 예제에서는 클라우드용 Microsoft Defender 에이전트가 VM 또는 물리적 머신에 배포되지 않았으므로 AuditIfNotExists 메시지가 나타납니다. AuditIfNotExists는 if 조건과 일치하는 리소스에서 감사를 사용하도록 설정합니다. 리소스가 배포되지 않은 경우 NotExists가 나타납니다.

    Screenshot that shows the 'System updates should be installed on your machines' parameter.

    시스템 업데이트를 머신에 설치해야 합니다가 사용으로 설정된 경우 감사가 나타납니다. 배포되었지만 사용하지 않도록 설정된 경우에는 사용 안 함이 나타납니다.

  9. 설정을 변경하는 경우 검토 + 저장 탭을 선택한 다음 저장을 선택합니다.

보안 구성 사용 - 수준 1

클라우드용 Microsoft Defender는 OS 강화를 위해 권장되는 150개 이상의 규칙 집합을 적용하여 보안 구성을 모니터링합니다. 이러한 규칙은 방화벽, 감사, 암호 정책 등에 관한 것입니다. 머신에 취약한 구성이 있는 것으로 확인되면 클라우드용 Defender에서 보안 권장 사항이 생성됩니다.

  1. Azure Portal에 로그인합니다. 클라우드용 Microsoft Defender를 검색하여 선택합니다.

  2. 왼쪽 메뉴의 관리에서 환경 설정을 선택합니다.

  3. 구독을 선택합니다.

  4. 왼쪽 메뉴에서 보안 정책을 선택합니다.

  5. 기본 이니셔티브에서 구독 또는 관리 그룹을 선택합니다.

  6. 매개 변수 탭을 선택합니다.

  7. 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다.가 정책 중 하나여야 합니다.

  8. 설정을 변경하는 경우 검토 + 저장 탭을 선택한 다음 저장을 선택합니다.

참고

제목에 (*)가 있는 다음 정책 범주는 모두 매개 변수 탭에 있습니다. 경우에 따라 각 범주에 몇 가지 옵션이 있습니다.

Endpoint Protection 사용(*) - 수준 1

Endpoint Protection은 모든 VM에 권장됩니다.

Disk Encryption 사용(*) - 수준 1

클라우드용 Microsoft Defender는 Windows 또는 Linux VM 디스크가 있는 경우 Azure Disk Encryption 사용을 권합니다. 디스크 암호화를 사용하면 Windows 및 Linux IaaS(Infrastructure as a Service) VM 디스크를 암호화할 수 있습니다. VM에서 OS 및 데이터 볼륨에 모두 암호화를 사용하는 것이 좋습니다.

네트워크 보안 그룹 사용(*) - 수준 1

클라우드용 Microsoft Defender는 NSG(네트워크 보안 그룹) 사용을 권합니다. NSG에는 가상 네트워크의 VM 인스턴스에 대한 네트워크 트래픽을 허용하거나 거부하는 ACL(액세스 제어 목록) 규칙 목록이 포함되어 있습니다. NSG는 서브넷 또는 서브넷 내의 개별 VM 인스턴스 중 하나에 연결될 수 있습니다. NSG가 서브넷에 연결된 경우 ACL 규칙은 해당 서브넷의 모든 VM 인스턴스에 적용됩니다. 또한 개별 VM에 대한 트래픽은 NSG를 해당 VM에 직접 연결하여 추가로 제한할 수도 있습니다.

웹 애플리케이션 방화벽 사용(*) - 수준 1

클라우드용 Microsoft Defender는 Microsoft 파트너의 웹 애플리케이션 방화벽(WAF)을 추가하여 웹 애플리케이션을 보호할 것을 권장할 수도 있습니다.

취약성 평가 사용(*) - 수준 1

클라우드용 Microsoft Defender의 취약성 평가는 클라우드용 Defender VM 권장 사항의 일부입니다. 클라우드용 Defender가 VM에 설치된 취약성 평가 솔루션을 찾을 수 없는 경우 새로 설치하는 것이 좋습니다. 배포된 후에 파트너 에이전트는 파트너의 관리 플랫폼에 취약성 데이터를 보고하기 시작합니다. 그러면 파트너 관리 플랫폼에서 취약성 및 상태 모니터링 데이터를 클라우드용 Defender에 다시 제공합니다.

스토리지 암호화 사용(*) - 수준 1

스토리지 암호화를 사용하도록 설정하면 Azure Blob Storage 및 Azure Files의 모든 새 데이터가 암호화됩니다.

JIT 네트워크 액세스 사용(*) - 수준 1

JIT(Just-In-Time) 네트워크 액세스는 Azure VM에 대한 인바운드 트래픽을 잠그는 데 사용할 수 있습니다. JIT 네트워크 액세스는 공격에 대한 노출을 줄이면서 필요할 때 VM에 쉽게 연결할 수 있도록 합니다.

적응형 애플리케이션 제어 사용(*) - 수준 1

적응형 애플리케이션 제어는 승인된 애플리케이션을 나열하는 클라우드용 Microsoft Defender의 인텔리전트하고 자동화된 엔드투엔드 리스팅 솔루션입니다. Azure 및 비 Azure VM(Windows와 Linux)에서 실행할 수 있는 애플리케이션을 제어할 수 있으므로, 여러 혜택 중에서도 맬웨어에 대해 VM을 강화하는 데 도움이 됩니다. 클라우드용 Defender는 기계 학습을 사용하여 VM에서 실행되는 애플리케이션을 분석합니다. 적응형 애플리케이션 제어 인텔리전스를 사용하여 특정 승인 규칙을 적용하는 데 도움이 됩니다. 이러한 기능은 승인된 애플리케이션 정책의 구성 및 유지 관리 프로세스를 훨씬 간소화합니다.

SQL 감사 및 위협 탐지 사용(*) - 수준 1

클라우드용 Microsoft Defender는 Azure SQL을 실행하는 서버의 모든 데이터베이스에 대해 감사 및 위협 탐지를 설정하도록 권합니다. 감사 및 위협 탐지는 규정 준수를 유지 관리하고, 데이터베이스 작업을 파악하며, 비즈니스 문제나 의심스러운 보안 위반을 경고할 수 있는 불일치 및 변칙에 대한 인사이트를 얻는 데 도움이 될 수 있습니다.

SQL 암호화 사용(*) - 수준 1

클라우드용 Microsoft Defender는 Azure에서 실행되는 SQL 데이터베이스에서 TDE(투명한 데이터 암호화) 사용을 설정할 것을 권합니다. TDE는 데이터를 보호하며, 미사용 데이터베이스, 관련 백업 및 트랜잭션 로그 파일을 암호화하여 규정 준수 요구 사항을 충족하도록 도와줍니다. TDE를 사용하도록 설정해도 애플리케이션을 변경할 필요는 없습니다.

보안 연락처 메일 및 전화번호 설정 - 수준 1

클라우드용 Microsoft Defender는 Azure 구독의 보안 연락처 세부 정보를 제공하도록 권합니다. Microsoft 보안 대응 센터에서 권한 없는 당사자가 고객 데이터에 액세스한 것을 확인한 경우 Microsoft에서 이 정보를 사용해 사용자에게 연락합니다. Microsoft 보안 대응 센터는 Azure 네트워크 및 인프라의 선택 보안 모니터링을 수행하고 타사에서 위협 인텔리전스 및 남용 불만 사항을 받습니다.

  1. Azure Portal에 로그인합니다. Cost Management + 청구를 검색하고 선택합니다. 구독에 따라 개요 창 또는 청구 범위 창이 표시됩니다.

    • 개요 창이 표시되면 다음 단계로 진행합니다.
    • 청구 범위 창이 표시되면 구독을 선택하여 개요 창으로 이동합니다.

  2. 개요 창에서 설정의 왼쪽 메뉴에서 속성을 선택합니다.

  3. 표시되는 연락처 정보의 유효성을 검사합니다. 연락처 정보를 업데이트해야 하는 경우 판매 대상 업데이트 링크를 선택하고 새 정보를 입력합니다.

  4. 설정을 변경한 경우 저장을 선택합니다.

Screenshot that shows the Properties pane with contact information and the Update sold to link selected.

경고에 대한 메일 받기 사용 - 수준 1

클라우드용 Microsoft Defender는 Azure 구독의 보안 연락처 세부 정보를 제공하도록 권합니다.

  1. Azure Portal에 로그인합니다. 클라우드용 Microsoft Defender를 검색하여 선택합니다.

  2. 왼쪽 메뉴의 관리에서 환경 설정을 선택합니다.

  3. 구독을 선택합니다.

  4. 왼쪽 메뉴의 설정에서 메일 알림을 선택합니다.

  5. 다음 역할이 있는 모든 사용자 드롭다운에서 역할을 선택하거나 추가 메일 주소(쉼표로 구분)에서 메일 주소를 입력합니다.

  6. 다음 심각도가 포함된 경고 알림 확인란을 선택하고 경고 심각도를 선택한 다음 저장을 선택합니다.

Screenshot that shows the email notifications settings pane for Microsoft Defender for Cloud.

구독 소유자에게도 메일 보내기 사용 - 수준 1

클라우드용 Microsoft Defender는 Azure 구독의 보안 연락처 세부 정보를 제공하도록 권합니다.

  1. 이전 섹션에 설명된 메일 알림 창에서 쉼표로 구분된 더 많은 메일 주소를 추가할 수 있습니다.

  2. 설정을 변경하는 경우 메뉴 모음의 저장을 선택합니다.