보안 평가 및 파일럿 Microsoft Defender XDR
적용 대상:
- Microsoft Defender XDR
이 문서 시리즈의 작동 방식
이 시리즈는 평가판 XDR 환경( 엔드 투 엔드)을 설정하는 전체 프로세스를 단계별로 진행하여 Microsoft Defender XDR 기능과 기능을 평가하고 준비가 되면 평가 환경을 프로덕션으로 바로 승격할 수 있도록 설계되었습니다.
XDR 보안에 대해 새로운 생각을 하는 경우 이 시리즈의 연결된 7개 문서를 검사하여 솔루션이 얼마나 포괄적인지 파악할 수 있습니다.
- 환경을 만드는 방법
- 이 Microsoft XDR의 각 기술 설정 또는 알아보기
- 이 XDR을 사용하여 조사하고 대응하는 방법
- 평가판 환경을 프로덕션 환경으로 승격
XDR 및 Microsoft Defender XDR란?
XDR 보안은 한 때 격리된 시스템에서 위협 데이터를 가져와 패턴을 보고 더 빠르게 작업할 수 있도록 통합하기 때문에 사이버 보안에서 한 걸음 더 나아갑니다.
예를 들어 Microsoft XDR은 엔드포인트(엔드포인트 검색 및 응답 또는 EDR), 이메일, 앱 및 ID 보안을 한 곳에서 통합합니다.
Microsoft Defender XDR 엔드포인트, 이메일, 애플리케이션 및 ID를 포함하여 Microsoft 365 환경에서 신호, 위협 및 경고 데이터를 자동으로 수집, 상호 연결 및 분석하는 eXtended 검색 및 응답(XDR) 솔루션입니다. AI(인공 지능) 및 자동화를 활용하여 공격을 자동으로 중지하고 영향을 받는 자산을 안전한 상태로 수정합니다.
Microsoft Defender XDR 보안을 평가하기 위한 Microsoft 권장 사항
Microsoft는 Office 365 기존 프로덕션 구독에서 평가를 만드는 것이 좋습니다. 이렇게 하면 실제 인사이트를 즉시 얻을 수 있으며 환경의 현재 위협에 대해 작동하도록 설정을 조정할 수 있습니다. 경험을 쌓고 플랫폼에 익숙해지면 각 구성 요소를 한 번에 하나씩 프로덕션으로 승격하기만 하면 됩니다.
사이버 보안 공격 분석
Microsoft Defender XDR 클라우드 기반의 통합, 사전 및 위반 후 엔터프라이즈 방어 제품군입니다. 엔드포인트, ID, 앱, 이메일, 공동 작업 애플리케이션 및 모든 데이터에서 방지, 검색, 조사 및 응답을 조정합니다.
이 그림에서는 공격이 진행 중입니다. 피싱 전자 메일은 organization 직원의 받은 편지함에 도착하며, 이 직원은 무의식적으로 전자 메일 첨부 파일을 엽니다. 이렇게 하면 맬웨어가 설치되어 중요한 데이터의 도난으로 끝날 수 있는 일련의 이벤트가 발생합니다. 그러나 이 경우 Office 365용 Defender 작동합니다.
이 그림의 내용
- Office 365용 Microsoft Defender 일부인 Exchange Online Protection 피싱 이메일을 감지하고 메일 흐름 규칙(전송 규칙이라고도 함)을 사용하여 받은 편지함에 도착하지 않도록 할 수 있습니다.
- Office 365용 Defender 안전한 첨부 파일을 사용하여 첨부 파일을 테스트하고 유해하다고 확인하므로 도착하는 메일은 사용자가 실행할 수 없거나 정책으로 인해 메일이 전혀 도착하지 않습니다.
- 엔드포인트용 Defender 는 회사 네트워크에 연결하고 악용될 수 있는 디바이스 및 네트워크 취약성을 검색하는 디바이스를 관리합니다.
- Defender for Identity 는 권한 상승 또는 위험 수준이 높은 횡적 이동과 같은 갑작스런 계정 변경을 기록합니다. 또한 보안 팀의 수정을 위해 제약이 없는 Kerberos 위임과 같은 쉽게 악용된 ID 문제에 대해 보고합니다.
- Microsoft Defender for Cloud Apps 불가능한 이동, 자격 증명 액세스 및 비정상적인 다운로드, 파일 공유 또는 메일 전달 활동과 같은 비정상적인 동작을 통지하고 보안 팀에 보고합니다.
Microsoft Defender XDR 구성 요소는 디바이스, ID, 데이터 및 애플리케이션을 보호합니다.
Microsoft Defender XDR 이러한 보안 기술로 구성되며 동시에 작동합니다. XDR 및 Microsoft Defender XDR 기능을 활용하려면 이러한 구성 요소가 모두 필요하지 않습니다. 하나 또는 두 가지를 사용하여 이익과 효율성을 실현할 수 있습니다.
| 구성 요소 | 설명 | 참조 자료 |
|---|---|---|
| ID용 Microsoft Defender | Microsoft Defender for Identity Active Directory 신호를 사용하여 organization 대상으로 하는 고급 위협, 손상된 ID 및 악의적인 내부자 작업을 식별, 감지 및 조사합니다. | Microsoft Defender for Identity란? |
| Exchange Online Protection | Exchange Online Protection 스팸 및 맬웨어로부터 organization 보호하는 데 도움이 되는 네이티브 클라우드 기반 SMTP 릴레이 및 필터링 서비스입니다. | EOP(Exchange Online Protection) 개요 - Office 365 |
| Office 365용 Microsoft Defender | Office 365용 Microsoft Defender 전자 메일 메시지, 링크(URL) 및 공동 작업 도구로 인한 악의적인 위협으로부터 organization 보호합니다. | Office 365용 Microsoft Defender - Office 365 |
| 엔드포인트용 Microsoft Defender | 엔드포인트용 Microsoft Defender 디바이스 보호, 위반 후 검색, 자동화된 조사 및 권장 대응을 위한 통합 플랫폼입니다. | 엔드포인트용 Microsoft Defender - Windows 보안 |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps 클라우드 앱에 대한 심층 가시성, 강력한 데이터 제어 및 향상된 위협 방지를 제공하는 포괄적인 SaaS 간 솔루션입니다. | Defender for Cloud Apps란? |
| Microsoft Entra ID Protection | Microsoft Entra ID Protection 수십억 번의 로그인 시도에서 위험 데이터를 평가하고 이 데이터를 사용하여 환경에 대한 각 로그인의 위험을 평가합니다. 이 데이터는 조건부 액세스 정책을 구성하는 방법에 따라 Microsoft Entra ID 계정 액세스를 허용하거나 방지하는 데 사용됩니다. Microsoft Entra ID Protection Microsoft Defender XDR 별도로 라이선스가 부여됩니다. Microsoft Entra ID P2에 포함되어 있습니다. | ID 보호란? |
Microsoft Defender XDR 아키텍처
아래 다이어그램에서는 주요 Microsoft Defender XDR 구성 요소 및 통합에 대한 고급 아키텍처를 보여 줍니다. 각 Defender 구성 요소 및 사용 사례 시나리오에 대한 자세한 아키텍처는 이 일련의 문서에서 제공됩니다.
이 그림의 내용:
- Microsoft Defender XDR 모든 Defender 구성 요소의 신호를 결합하여 도메인 간에 XDR(확장 검색 및 응답)을 제공합니다. 여기에는 통합 인시던트 큐, 공격 중지에 대한 자동화된 대응, 자체 복구(손상된 디바이스, 사용자 ID 및 사서함의 경우), 위협 간 헌팅 및 위협 분석이 포함됩니다.
- Office 365용 Microsoft Defender는 전자 메일 메시지, 링크 (URL) 및 공동 작업 도구로 인한 악의적인 위협으로부터 조직을 보호합니다. 이러한 활동으로 인한 신호를 Microsoft Defender XDR 공유합니다. EOP(Exchange Online Protection)는 들어오는 전자 메일 및 첨부 파일에 대한 엔드 투 엔드 보호를 제공하기 위해 통합됩니다.
- Microsoft Defender for Identity AD FS(Active Directory Federated Services) 및 AD DS(온-프레미스 Active Directory Domain Services)를 실행하는 서버에서 신호를 수집합니다. 이러한 신호를 사용하여 손상된 계정을 사용하여 온-프레미스 환경의 워크스테이션 간에 횡적으로 이동하는 해커로부터 보호하는 등 하이브리드 ID 환경을 보호합니다.
- 엔드포인트용 Microsoft Defender 신호를 수집하고 organization 사용하는 디바이스를 보호합니다.
- Microsoft Defender for Cloud Apps organization 클라우드 앱을 사용하여 신호를 수집하고 승인된 클라우드 앱과 허가되지 않은 클라우드 앱을 포함하여 환경과 이러한 앱 간에 흐르는 데이터를 보호합니다.
- Microsoft Entra ID Protection 수십억 번의 로그인 시도에서 위험 데이터를 평가하고 이 데이터를 사용하여 환경에 대한 각 로그인의 위험을 평가합니다. 이 데이터는 조건부 액세스 정책을 구성하는 방법에 따라 Microsoft Entra ID 계정 액세스를 허용하거나 방지하는 데 사용됩니다. Microsoft Entra ID Protection Microsoft Defender XDR 별도로 라이선스가 부여됩니다. Microsoft Entra ID P2에 포함되어 있습니다.
Microsoft SIEM 및 SOAR는 Microsoft Defender XDR 데이터를 사용할 수 있습니다.
이 그림에 포함되지 않은 추가 선택적 아키텍처 구성 요소는 다음과 같습니다.
- 모든 Microsoft Defender XDR 구성 요소의 자세한 신호 데이터를 Microsoft Sentinel에 통합하고 다른 로깅 원본과 결합하여 전체 SIEM 및 SOAR 기능 및 인사이트를 제공할 수 있습니다.
- Microsoft Defender XDR XDR로 사용하는 Azure SIEM인 Microsoft Sentinel 사용에 대한 자세한 내용은 이 개요 문서 및 Microsoft Sentinel 및 Microsoft Defender XDR 통합 단계를 살펴보세요.
- Microsoft Sentinel의 SOAR(Microsoft Sentinel GitHub 리포지토리의 플레이북에 대한 링크 포함)에 대한 자세한 내용은 이 문서를 참조하세요.
Microsoft Defender XDR 사이버 보안을 위한 평가 프로세스
Microsoft는 다음 순서대로 Microsoft 365의 구성 요소를 사용하도록 설정하는 것이 좋습니다.
다음 표에서는 이 그림에 대해 설명합니다.
| 일련 번호 | 단계 | 설명 |
|---|---|---|
| 1 | 평가 환경 만들기 | 이 단계에서는 Microsoft Defender XDR 대한 평가판 라이선스가 있는지 확인합니다. |
| 2 | Defender for Identity 사용 | 아키텍처 요구 사항을 검토하고, 평가를 사용하도록 설정하고, 다양한 공격 유형을 식별하고 수정하기 위한 자습서를 안내합니다. |
| 3 | Office 365용 Defender 사용 | 아키텍처 요구 사항을 충족하고, 평가를 사용하도록 설정한 다음, 파일럿 환경을 만들어야 합니다. 이 구성 요소에는 Exchange Online Protection 포함되므로 여기에서 두 가지를 모두 실제로 평가합니다. |
| 4 | 엔드포인트용 Defender 사용 | 아키텍처 요구 사항을 충족하고, 평가를 사용하도록 설정한 다음, 파일럿 환경을 만들어야 합니다. |
| 5 | Microsoft Defender for Cloud Apps 사용 | 아키텍처 요구 사항을 충족하고, 평가를 사용하도록 설정한 다음, 파일럿 환경을 만들어야 합니다. |
| 6 | 위협 탐지 및 응답 | 공격을 시뮬레이션하고 인시던트 대응 기능을 사용하기 시작합니다. |
| 7 | 평가판을 제품으로 승격 | Microsoft 365 구성 요소를 프로덕션으로 하나씩 승격합니다. |
이 순서는 일반적으로 권장되며 일반적으로 기능을 배포하고 구성하는 데 필요한 작업에 따라 기능의 가치를 빠르게 활용하도록 설계되었습니다. 예를 들어 Office 365용 Defender 엔드포인트용 Defender에 디바이스를 등록하는 데 걸리는 시간보다 더 적은 시간에 구성할 수 있습니다. 물론 비즈니스 요구 사항에 맞게 구성 요소의 우선 순위를 지정해야 하며 다른 순서로 사용하도록 설정할 수 있습니다.
다음 단계로 이동
Microsoft Defender XDR 평가 환경에 대해 알아보기 및/또는 만들기
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기