파일럿 및 배포 Microsoft Defender for Cloud Apps
적용 대상:
- Microsoft Defender XDR
이 문서에서는 organization Microsoft Defender for Cloud Apps 파일럿하고 배포하기 위한 워크플로를 제공합니다. 이러한 권장 사항을 사용하여 Microsoft Defender for Cloud Apps 개별 사이버 보안 도구 또는 Microsoft Defender XDR 엔드 투 엔드 솔루션의 일부로 온보딩할 수 있습니다.
이 문서에서는 프로덕션 Microsoft 365 테넌트가 있으며 이 환경에서 Microsoft Defender for Cloud Apps 파일럿하고 배포하고 있다고 가정합니다. 이 방법은 전체 배포를 위해 파일럿 중에 구성하는 모든 설정 및 사용자 지정을 유지 관리합니다.
Office 365용 Defender 위반으로 인한 비즈니스 피해를 방지하거나 줄여 제로 트러스트 아키텍처에 기여합니다. 자세한 내용은 Microsoft 제로 트러스트 채택 프레임워크의 위반 비즈니스로 인한 비즈니스 손상 방지 또는 감소를 참조하세요.
Microsoft Defender XDR 대한 엔드 투 엔드 배포
이 문서는 인시던트 조사 및 대응을 포함하여 Microsoft Defender XDR 구성 요소를 배포하는 데 도움이 되는 시리즈의 문서 5/6입니다.
이 시리즈의 문서는 엔드 투 엔드 배포의 다음 단계에 해당합니다.
단계 | 링크 |
---|---|
대답. 파일럿 시작 | 파일럿 시작 |
B. Microsoft Defender XDR 구성 요소 파일럿 및 배포 |
-
Defender for Identity 파일럿 및 배포 - 파일럿 및 배포 Office 365용 Defender - 엔드포인트용 Defender 파일럿 및 배포 - 파일럿 및 배포 Microsoft Defender for Cloud Apps(이 문서) |
C. 위협 조사 및 대응 | 인시던트 조사 및 대응 연습 |
Defender for Cloud Apps 대한 워크플로 파일럿 및 배포
다음 다이어그램에서는 IT 환경에 제품 또는 서비스를 배포하는 일반적인 프로세스를 보여 줍니다.
먼저 제품 또는 서비스를 평가하고 organization 내에서 어떻게 작동하는지 평가합니다. 그런 다음 테스트, 학습 및 사용자 지정을 위해 프로덕션 인프라의 작은 하위 집합으로 제품 또는 서비스를 파일럿합니다. 그런 다음 전체 인프라 또는 organization 다룰 때까지 배포의 scope 점진적으로 늘입니다.
프로덕션 환경에서 Defender for Cloud Apps 파일럿 및 배포하기 위한 워크플로는 다음과 같습니다.
다음 단계를 따릅니다.
- Defender for Cloud Apps 포털에 연결
- 엔드포인트용 Microsoft Defender 통합
- 방화벽 및 기타 프록시에 로그 수집기 배포
- 파일럿 그룹 만들기
- 클라우드 앱 검색 및 관리
- 조건부 액세스 앱 제어 구성
- 클라우드 앱에 세션 정책 적용
- 추가 기능 사용해 보기
각 배포 단계에 권장되는 단계는 다음과 같습니다.
배포 단계 | 설명 |
---|---|
평가 | Defender for Cloud Apps 제품 평가를 수행합니다. |
파일럿 | 프로덕션 환경에서 적합한 클라우드 앱 하위 집합에 대해 1-4단계 및 5-8단계를 수행합니다. |
배포 후 | 나머지 클라우드 앱에 대해 5-8단계를 수행하여 파일럿 사용자 그룹에 대한 범위를 조정하거나 파일럿을 넘어 확장하고 모든 사용자 계정을 포함하도록 사용자 그룹을 추가합니다. |
해커로부터 organization 보호
Defender for Cloud Apps 자체적으로 강력한 보호를 제공합니다. 그러나 Microsoft Defender XDR 다른 기능과 결합되면 Defender for Cloud Apps 공유 신호에 데이터를 제공하여 공격을 중지하는 데 도움이 됩니다.
다음은 사이버 공격의 예와 Microsoft Defender XDR 구성 요소가 이를 감지하고 완화하는 데 어떻게 도움이 되는지에 대한 예입니다.
Defender for Cloud Apps 불가능한 이동, 자격 증명 액세스 및 비정상적인 다운로드, 파일 공유 또는 메일 전달 활동과 같은 비정상적인 동작을 감지하고 Defender for Cloud Apps 포털에 이러한 동작을 표시합니다. Defender for Cloud Apps 해커의 횡적 이동과 중요한 데이터의 반출을 방지하는 데에도 도움이 됩니다.
Microsoft Defender XDR 모든 Microsoft Defender 구성 요소의 신호를 상호 연결하여 전체 공격 스토리를 제공합니다.
CASB로서의 역할 Defender for Cloud Apps
CASB(클라우드 액세스 보안 브로커)는 사용자가 어디에 있든 사용 중인 디바이스에 관계없이 엔터프라이즈 사용자와 사용하는 클라우드 리소스 간에 실시간으로 액세스를 중개하는 게이트키퍼 역할을 합니다. Defender for Cloud Apps organization 클라우드 앱에 대한 CASB입니다. Defender for Cloud Apps 기본적으로 Microsoft Defender XDR 비롯한 Microsoft 보안 기능과 통합됩니다.
Defender for Cloud Apps 없으면 organization 사용하는 클라우드 앱은 관리되지 않고 보호되지 않습니다.
이 그림의 내용
- organization 클라우드 앱의 사용은 모니터링되지 않으며 보호되지 않습니다.
- 이 사용은 관리되는 organization 내에서 수행되는 보호 범위를 벗어났습니다.
사용자 환경에서 사용되는 클라우드 앱을 검색하려면 다음 방법 중 하나 또는 둘 다를 구현할 수 있습니다.
- 엔드포인트용 Microsoft Defender 통합하여 Cloud Discovery를 빠르게 시작하고 실행합니다. 이 네이티브 통합을 통해 Windows 10 및 Windows 11 디바이스의 클라우드 트래픽에 대한 데이터 수집을 즉시 시작할 수 있습니다.
- 네트워크에 연결된 모든 디바이스에서 액세스하는 모든 클라우드 앱을 검색하려면 방화벽 및 기타 프록시에 Defender for Cloud Apps 로그 수집기를 배포합니다. 이 배포는 엔드포인트에서 데이터를 수집하고 분석을 위해 Defender for Cloud Apps 보냅니다. Defender for Cloud Apps 기본적으로 더 많은 기능을 위해 일부 타사 프록시와 통합됩니다.
이 문서에는 두 방법 모두에 대한 지침이 포함되어 있습니다.
1단계. Defender for Cloud Apps 포털에 연결
라이선스를 확인하고 Defender for Cloud Apps 포털에 연결하려면 빠른 시작: Microsoft Defender for Cloud Apps 시작을 참조하세요.
포털에 즉시 연결할 수 없는 경우 방화벽의 허용 목록에 IP 주소를 추가해야 할 수 있습니다. Defender for Cloud Apps 대한 기본 설정을 참조하세요.
여전히 문제가 있는 경우 네트워크 요구 사항을 검토하세요.
2단계: 엔드포인트용 Microsoft Defender 통합
Microsoft Defender for Cloud Apps 기본적으로 엔드포인트용 Microsoft Defender 통합됩니다. 통합은 Cloud Discovery의 롤아웃을 간소화하고, 회사 네트워크를 넘어 Cloud Discovery 기능을 확장하며, 디바이스 기반 조사를 가능하게 합니다. 이 통합은 IT 관리형 Windows 10 및 Windows 11 디바이스에서 액세스하는 클라우드 앱 및 서비스를 보여줍니다.
이미 엔드포인트용 Microsoft Defender 설정한 경우 Defender for Cloud Apps 통합을 구성하는 것은 Microsoft Defender XDR 토글입니다. 통합이 켜져 있으면 Defender for Cloud Apps 포털로 돌아가 Cloud Discovery 대시보드에서 풍부한 데이터를 볼 수 있습니다.
이러한 작업을 수행하려면 Microsoft Defender for Cloud Apps 엔드포인트용 Microsoft Defender 통합을 참조하세요.
3단계: 방화벽 및 기타 프록시에 Defender for Cloud Apps 로그 수집기 배포
네트워크에 연결된 모든 디바이스에서 적용하려면 방화벽 및 기타 프록시에 Defender for Cloud Apps 로그 수집기를 배포하여 엔드포인트에서 데이터를 수집하고 분석을 위해 Defender for Cloud Apps 보냅니다.
다음 SWG(Secure Web Gateways) 중 하나를 사용하는 경우 Defender for Cloud Apps 원활한 배포 및 통합을 제공합니다.
- Zscaler
- iboss
- 코라타 주
- Menlo 보안
이러한 네트워크 디바이스와 통합하는 방법에 대한 자세한 내용은 Cloud Discovery 설정을 참조하세요.
4단계. 파일럿 그룹 만들기 - 파일럿 배포를 특정 사용자 그룹으로 범위 지정
Microsoft Defender for Cloud Apps 배포를 scope 수 있습니다. 범위 지정을 사용하면 앱에 대해 모니터링하거나 모니터링에서 제외할 특정 사용자 그룹을 선택할 수 있습니다. 사용자 그룹을 포함하거나 제외할 수 있습니다. 파일럿 배포를 scope 범위 지정 배포를 참조하세요.
5단계. 클라우드 앱 검색 및 관리
Defender for Cloud Apps 최대 보호 용량을 제공하려면 organization 모든 클라우드 앱을 검색하고 사용 방법을 관리해야 합니다.
클라우드 앱 검색
클라우드 앱 사용을 관리하는 첫 번째 단계는 organization 사용되는 클라우드 앱을 검색하는 것입니다. 다음 다이어그램에서는 클라우드 검색이 Defender for Cloud Apps 작동하는 방법을 보여 줍니다.
이 그림에는 네트워크 트래픽을 모니터링하고 organization 사용되는 클라우드 앱을 검색하는 데 사용할 수 있는 두 가지 방법이 있습니다.
Cloud App Discovery는 기본적으로 엔드포인트용 Microsoft Defender 통합됩니다. 엔드포인트용 Defender는 IT 관리형 Windows 10 및 Windows 11 디바이스에서 액세스되는 클라우드 앱 및 서비스를 보고합니다.
네트워크에 연결된 모든 디바이스에서 적용하려면 방화벽 및 기타 프록시에 Defender for Cloud Apps 로그 수집기를 설치하여 엔드포인트에서 데이터를 수집합니다. 수집기는 분석을 위해 이 데이터를 Defender for Cloud Apps 보냅니다.
Cloud Discovery dashboard 확인하여 organization 사용 중인 앱을 확인합니다.
Cloud Discovery dashboard organization 클라우드 앱이 사용되는 방식에 대한 더 많은 인사이트를 제공하도록 설계되었습니다. 사용 중인 앱의 종류, 공개 경고 및 organization 앱의 위험 수준에 대한 개요를 한눈에 확인할 수 있습니다.
Cloud Discovery dashboard 사용을 시작하려면 검색된 앱 작업을 참조하세요.
클라우드 앱 관리
클라우드 앱을 검색하고 organization 이러한 앱을 사용하는 방법을 분석한 후 선택한 클라우드 앱 관리를 시작할 수 있습니다.
이 그림의 내용:
- 일부 앱은 사용이 허가됩니다. 제재는 앱을 관리하기 시작하는 간단한 방법입니다.
- 앱 커넥터와 앱을 연결하여 더 큰 가시성 및 제어를 사용하도록 설정할 수 있습니다. 앱 커넥터는 앱 공급자의 API를 사용합니다.
앱을 제재, 허가 취소 또는 완전히 차단하여 앱 관리를 시작할 수 있습니다. 앱 관리를 시작하려면 검색된 앱 관리를 참조하세요.
6단계. 조건부 액세스 앱 제어 구성
구성할 수 있는 가장 강력한 보호 중 하나는 조건부 액세스 앱 제어입니다. 이 보호를 사용하려면 Microsoft Entra ID 통합해야 합니다. 이를 통해 승인한 클라우드 앱에 관련 정책(예: 정상 디바이스 필요)을 포함한 조건부 액세스 정책을 적용할 수 있습니다.
다단계 인증 및 기타 조건부 액세스 정책을 적용하기 위해 Microsoft Entra 테넌트에서 SaaS 앱을 이미 추가했을 수 있습니다. Microsoft Defender for Cloud Apps 기본적으로 Microsoft Entra ID 통합됩니다. Defender for Cloud Apps 조건부 액세스 앱 제어를 사용하도록 Microsoft Entra ID 정책을 구성하기만 하면 됩니다. 이렇게 하면 Defender for Cloud Apps 통해 이러한 관리되는 SaaS 앱의 네트워크 트래픽을 프록시로 라우팅하므로 Defender for Cloud Apps 이 트래픽을 모니터링하고 세션 컨트롤을 적용할 수 있습니다.
이 그림의 내용:
- SaaS 앱은 Microsoft Entra 테넌트와 통합됩니다. 이 통합을 통해 Microsoft Entra ID 다단계 인증을 포함한 조건부 액세스 정책을 적용할 수 있습니다.
- SaaS 앱이 Defender for Cloud Apps 트래픽을 전송하도록 Microsoft Entra ID 정책이 추가됩니다. 정책은 이 정책을 적용할 SaaS 앱을 지정합니다. Microsoft Entra ID 이러한 SaaS 앱에 적용되는 조건부 액세스 정책을 적용한 후 Microsoft Entra ID Defender for Cloud Apps 통해 세션 트래픽을 지시(프록시)합니다.
- Defender for Cloud Apps 이 트래픽을 모니터링하고 관리자가 구성한 모든 세션 제어 정책을 적용합니다.
Microsoft Entra ID 추가되지 않은 Defender for Cloud Apps 사용하여 클라우드 앱을 검색하고 승인했을 수 있습니다. 이러한 클라우드 앱을 Microsoft Entra 테넌트와 조건부 액세스 규칙의 scope 추가하여 조건부 액세스 앱 제어를 활용할 수 있습니다.
Microsoft Defender for Cloud Apps 사용하여 SaaS 앱을 관리하는 첫 번째 단계는 이러한 앱을 검색한 다음 Microsoft Entra 테넌트에서 추가하는 것입니다. 검색에 대한 도움이 필요한 경우 네트워크에서 SaaS 앱 검색 및 관리를 참조하세요. 앱을 검색한 후 이러한 앱을 Microsoft Entra 테넌트에 추가합니다.
다음 작업을 사용하여 이러한 앱을 관리할 수 있습니다.
- Microsoft Entra ID 새 조건부 액세스 정책을 만들고 "조건부 액세스 앱 제어 사용"으로 구성합니다. 이 구성은 요청을 Defender for Cloud Apps 리디렉션하는 데 도움이 됩니다. 하나의 정책을 만들고 이 정책에 모든 SaaS 앱을 추가할 수 있습니다.
- 다음으로, Defender for Cloud Apps 세션 정책을 만듭니다. 적용하려는 각 컨트롤에 대해 하나의 정책을 만듭니다.
지원되는 앱 및 클라이언트를 포함한 자세한 내용은 Microsoft Defender for Cloud Apps 조건부 액세스 앱 제어를 사용하여 앱 보호를 참조하세요.
예제 정책은 SaaS 앱에 대한 권장 Microsoft Defender for Cloud Apps 정책을 참조하세요. 이러한 정책은 모든 고객의 시작점으로 권장되는 공통 ID 및 디바이스 액세스 정책 집합을 기반으로 합니다.
7단계. 클라우드 앱에 세션 정책 적용
Microsoft Defender for Cloud Apps 역방향 프록시 역할을 하여 승인된 클라우드 앱에 대한 프록시 액세스를 제공합니다. 이 프로비저닝을 사용하면 Defender for Cloud Apps 구성하는 세션 정책을 적용할 수 있습니다.
이 그림의 내용
- organization 사용자 및 디바이스에서 승인된 클라우드 앱에 대한 액세스는 Defender for Cloud Apps 통해 라우팅됩니다.
- 이 프록시 액세스를 사용하면 세션 정책을 적용할 수 있습니다.
- 승인되지 않았거나 명시적으로 허가되지 않은 클라우드 앱은 영향을 받지 않습니다.
세션 정책을 사용하면 organization 클라우드 앱을 사용하는 방법에 매개 변수를 적용할 수 있습니다. 예를 들어 organization Salesforce를 사용하는 경우 관리되는 디바이스만 Salesforce에서 organization 데이터에 액세스할 수 있도록 하는 세션 정책을 구성할 수 있습니다. 더 간단한 예제는 더 엄격한 정책을 적용하기 전에 이 트래픽의 위험을 분석할 수 있도록 관리되지 않는 디바이스의 트래픽을 모니터링하는 정책을 구성하는 것입니다.
자세한 내용은 세션 정책 만들기를 참조하세요.
8단계. 추가 기능 사용해 보기
다음 Defender for Cloud Apps 자습서를 사용하여 위험을 검색하고 환경을 보호합니다.
- 의심스러운 사용자 활동 검색
- 위험한 사용자 조사
- 위험한 OAuth 앱 조사
- 중요한 정보 검색 및 보호
- 실시간으로 organization 모든 앱 보호
- 중요한 정보의 다운로드 차단
- 관리자 격리를 사용하여 파일 보호
- 위험한 작업 시 단계별 인증 필요
Microsoft Defender for Cloud Apps 데이터의 고급 헌팅에 대한 자세한 내용은 이 비디오를 참조하세요.
SIEM 통합
Defender for Cloud Apps Microsoft Sentinel 또는 일반 SIEM(보안 정보 및 이벤트 관리) 서비스와 통합하여 연결된 앱의 경고 및 활동을 중앙 집중식으로 모니터링할 수 있습니다. Microsoft Sentinel 사용하면 organization 보안 이벤트를 보다 포괄적으로 분석하고 효과적이고 즉각적인 대응을 위해 플레이북을 빌드할 수 있습니다.
Microsoft Sentinel Defender for Cloud Apps 커넥터를 포함합니다. 이를 통해 클라우드 앱에 대한 가시성을 얻을 뿐만 아니라 정교한 분석을 통해 사이버 위협을 식별하고 방지하고 데이터 이동 방식을 제어할 수 있습니다. 자세한 내용은 Defender for Cloud Apps Microsoft Sentinel Microsoft Sentinel 통합및 Stream 경고 및 Cloud Discovery 로그를 참조하세요.
타사 SIEM 시스템과의 통합에 대한 자세한 내용은 일반 SIEM 통합을 참조하세요.
다음 단계
Defender for Cloud Apps 수명 주기 관리를 수행합니다.
Microsoft Defender XDR 엔드 투 엔드 배포를 위한 다음 단계
Microsoft Defender XDR 사용하여 조사 및 응답을 사용하여 Microsoft Defender XDR 엔드 투 엔드 배포를 계속합니다.
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.