보안 경고 보기

  • 5분

클라우드용 Microsoft Defender는 여러 원본의 로그 데이터를 자동으로 수집, 분석 및 통합하여 워크로드에 대한 신뢰할 수 있는 위협을 확인합니다. Azure 리소스, 네트워크 및 방화벽과 같은 연결된 파트너 솔루션의 데이터는 가양성 문제를 줄이기 위해 기계 학습 및 고급 보안 분석과 상호 연결되고 처리됩니다.

이 집계를 통해 클라우드용 Defender는 다음과 같은 위협을 탐지할 수 있습니다.

  • 알려진 악성 IP 주소와 통신하는 손상된 가상 머신(VM)
  • Windows 오류 보고를 사용하여 탐지된 지능형 맬웨어 프로그램
  • VM에 대한 무차별 암호 대입 공격(brute force attack)
  • 맬웨어 방지 프로그램 또는 웹 애플리케이션 방화벽과 같은 통합 파트너 보안 솔루션의 보안 경고

이러한 위협이 탐지되면 클라우드용 Defender는 보안 경고를 생성합니다.

보안 경고란?

경고는 리소스에 대한 위협을 탐지할 때 클라우드용 Defender에서 생성하는 알림입니다. 클라우드용 Defender는 경고의 우선 순위를 지정하여 문제를 빠르게 조사하는 데 필요한 정보와 함께 경고를 나열합니다. 클라우드용 Defender는 공격을 해결하는 방법에 대한 권장 사항도 제공합니다.

경고 유형 및 사이버 킬 체인

클라우드용 Microsoft Defender는 사이버 킬 체인의 스테이지에 맞는 다양한 경고를 제공합니다. 사이버 킬 체인은 초기 정찰 스테이지부터 데이터 반출까지 사이버 공격을 추적하는 일련의 단계입니다. 킬 체인은 록히드 마틴에서 만들었습니다. 적 목표를 확인하고 교전을 시작하도록 설정된 군사 프레임워크를 모델링합니다.

kill 체인은 다음 이미지와 같이 8단계로 구성됩니다. 공격 유형마다 다른 스테이지에 연결되고, 다양한 하위 시스템을 대상으로 합니다. 무차별 암호 대입 로그인부터 바이러스 및 웜까지 모든 일반적인 공격 벡터가 사이버 킬 체인의 작업을 트리거합니다.

Diagram that depicts the phases of the kill chain and that lists the types of attacks associated with each phase.

  1. 정찰: 공격자가 네트워크 및 서비스를 평가하여 진입을 위해 가능한 대상과 기술을 식별하는 관찰 단계입니다.
  2. 침입: 공격자가 정찰 단계에서 얻은 정보를 사용하여 네트워크의 일부에 액세스합니다. 이 단계에는 결함이나 보안 허점 탐색이 종종 포함됩니다.
  3. 악용: 이 단계에서는 취약성을 악용하고 시스템에 악성 코드를 삽입하여 더 많은 액세스 권한을 얻습니다.
  4. 권한 상승: 더 중요한 데이터에 액세스하고 다른 연결된 시스템으로 이동할 수 있도록 공격자가 손상된 시스템에 대한 관리 액세스 권한을 얻으려고 하는 경우가 많습니다.
  5. 수평 이동: 연결된 서버에 수평으로 이동하고 잠재적 데이터에 대한 추가 액세스 권한을 얻는 프로세스입니다.
  6. 난독 처리/포렌식 방지: 사이버 공격을 성공적으로 제거하려면 공격자가 진입을 차단해야 합니다. 보안 팀이 탐지하지 못하도록 데이터를 손상하고 감사 로그를 지우는 경우가 많습니다.
  7. 서비스 거부: 이 단계에서는 공격이 모니터링, 추적 또는 차단되지 않도록 사용자와 시스템의 정상적인 액세스를 방해합니다.
  8. 반출: 최종 추출 스테이지로, 손상된 시스템에서 중요한 데이터를 가져옵니다.

클라우드용 Defender 경고는 킬 체인의 각 단계에서 알려진 동작을 감지하고 인식하려고 시도합니다. 그런 다음 SecOps 팀에게 진행 중인 사이버 공격을 막을 수 있는 기회를 제공합니다. 위반이 발생한 후에 클라우드용 Defender는 반출을 확인하고 손상된 시스템을 차단하는 데 필요한 세부 정보를 제공할 수 있습니다.

경고에는 경고를 트리거한 항목, 대상 리소스 및 공격 원본에 대한 중요한 정보가 포함됩니다. 경고에 포함되는 정보는 위협 탐지에 사용된 분석 유형에 따라 다릅니다. 위협 조사 중에 유용한 추가 컨텍스트 정보가 인시던트에 포함될 수도 있습니다. 이러한 스테이지에서 공격을 해결하기 위해 클라우드용 Defender는 다음과 같은 범주의 경고를 제공합니다.

  • 가상 머신 동작 분석
  • 네트워크 분석
  • SQL Database 및 SQL Data Warehouse 분석
  • 컨텍스트 정보

이 경고는 위협 또는 의심스러운 활동이 발생할 때 트리거됩니다.

보안 경고 보기

수집된 보안 경고는 클라우드용 Microsoft Defender의 보안 경고 페이지에서 직접, 명령줄 도구를 통해 또는 REST API를 사용하여 볼 수 있습니다. 포털은 경고를 보는 가장 쉬운 방법입니다. 심각도 수준(높음, 중간 또는 낮음)으로 색이 지정된 현재 경고의 그래프를 표시합니다. 다음은 실행 중인 리소스가 모니터링되는 구독의 예입니다.

Screenshot that shows the security alerts pane in Defender for Cloud.

자세한 내용을 표시하기 위해 경고도 개별적으로 나열됩니다. 날짜, 상태, 심각도를 기준으로 경고를 필터링할 수 있습니다. 경고 필터링은 보안 경고의 범위를 좁혀야 하는 시나리오에 유용할 수 있습니다. 예를 들어 시스템에서 잠재적 위반을 조사 중인 경우 최근 24시간 동안 발생한 보안 경고를 확인하는 것이 좋습니다.

경고가 많으면 보안 경고 페이지에서 필터 추가를 선택할 수 있습니다. 필터 창이 표시되고 필터를 선택하여 보려는 값을 표시할 수 있습니다.

Screenshot that shows the Filter window with filter options displayed.

그룹화 메뉴를 사용하여 제목, 리소스 및 구독별로 경고를 정렬할 수도 있습니다.

Screenshot that shows the 'Grouping' drop-down menu.