Microsoft Defender 포털에서 클라우드용 Microsoft Defender
적용 대상:
클라우드용 Microsoft Defender 이제 Microsoft Defender XDR 일부가 되었습니다. 이제 보안 팀은 Microsoft Defender 포털 내에서 클라우드용 Defender 경고 및 인시던트에 액세스하여 클라우드 리소스, 디바이스 및 ID에 걸친 조사에 보다 풍부한 컨텍스트를 제공할 수 있습니다. 또한 보안 팀은 경고 및 인시던트에 대한 즉각적인 상관 관계를 통해 클라우드 환경에서 발생하는 의심스럽고 악의적인 이벤트를 포함하여 공격에 대한 완전한 그림을 얻을 수 있습니다.
Microsoft Defender 포털은 보호, 검색, 조사 및 대응 기능을 결합하여 디바이스, 이메일, 공동 작업, ID 및 클라우드 앱에 대한 공격을 보호합니다. 포털의 검색 및 조사 기능은 이제 클라우드 엔터티로 확장되어 보안 운영 팀에게 운영 효율성을 크게 개선하기 위한 단일 창이 제공됩니다.
또한 클라우드용 Defender 인시던트 및 경고는 이제 Microsoft Defender XDR 공용 API의 일부입니다. 이 통합을 통해 단일 API를 사용하여 모든 시스템에 보안 경고 데이터를 내보낼 수 있습니다.
필수 구성 요소
Microsoft Defender 포털에서 클라우드용 Defender 경고에 액세스하려면 Azure 구독 연결에 나열된 플랜을 구독해야 합니다.
필요한 사용 권한
클라우드용 Defender 경고 및 상관 관계를 보려면 Azure Active Directory의 전역 관리자 또는 보안 관리자여야 합니다. 이러한 역할이 없는 사용자의 경우 통합은 클라우드용 Defender에 대한 RBAC(통합 역할 기반 액세스 제어) 역할을 적용해야만 사용할 수 있습니다.
참고
클라우드용 Defender 경고 및 상관 관계를 볼 수 있는 권한은 전체 테넌트에서 자동으로 수행됩니다. 특정 구독에 대한 보기는 지원되지 않습니다.
Microsoft Defender 포털의 조사 환경
다음 섹션에서는 클라우드용 Defender 경고가 있는 Microsoft Defender 포털의 검색 및 조사 환경에 대해 설명합니다.
참고
클라우드용 Defender의 정보 경고는 관련성이 높고 심각도가 높은 경고에 집중할 수 있도록 Microsoft Defender 포털에 통합되지 않습니다. 이 전략은 인시던트 관리를 간소화하고 경고 피로를 줄입니다.
| 영역 | 설명 |
|---|---|
| 인시던트 | 클라우드용 모든 Defender 인시던트가 Microsoft Defender 포털에 통합됩니다. - 인시던트 큐 에서 클라우드 리소스 자산 검색이 지원됩니다. - 공격 스토리 그래프는 클라우드 리소스를 표시합니다. - 인 시던트 페이지의 자산 탭 에 클라우드 리소스가 표시됩니다. - 각 가상 머신에는 모든 관련 경고 및 활동이 포함된 자체 디바이스 페이지가 있습니다. 다른 Defender 워크로드의 인시던트가 중복되지 않습니다. |
| 경고 | 다중 클라우드, 내부 및 외부 공급자의 경고를 포함한 모든 클라우드용 Defender 경고는 Microsoft Defender 포털에 통합됩니다. 클라우드용 Defender 경고는 Microsoft Defender 포털 경고 큐에 표시됩니다.클라우드 리소스 자산은 경고의 자산 탭에 표시됩니다. 리소스는 Azure, Amazon 또는 Google Cloud 리소스로 명확하게 식별됩니다.클라우드용 Defender 경고는 테넌트와 자동으로 연결됩니다.다른 Defender 워크로드에서 경고가 중복되지 않습니다. |
| 경고 및 인시던트 상관 관계 | 경고 및 인시던트가 자동으로 상호 연결되어 보안 운영 팀에 강력한 컨텍스트를 제공하여 클라우드 환경의 전체 공격 스토리를 이해합니다. |
| 위협 검색 | 정밀하고 효과적인 위협 탐지를 보장하기 위해 가상 엔터티를 디바이스 엔터티와 정확하게 일치합니다. |
| 통합 API | 클라우드용 Defender 경고 및 인시던트가 이제 Microsoft Defender XDR 공용 API에 포함되므로 고객은 하나의 API를 사용하여 보안 경고 데이터를 다른 시스템으로 내보낼 수 있습니다. |
Microsoft Sentinel 사용자에게 미치는 영향
중복된 경고 및인시던트가 생성되지 않도록 다음 구성을 변경하려면 microsoft Sentinel 고객이 Microsoft Defender XDR 인시던트 통합 및 클라우드용 Defender 경고를 수집해야 합니다.
- 테넌트 기반 클라우드용 Microsoft Defender(미리 보기) 커넥터를 연결하여 모든 구독의 경고 컬렉션을 Microsoft Defender XDR 인시던트 커넥터를 통해 스트리밍하는 테넌트 기반 클라우드용 Defender 인시던트와 동기화합니다.
- 클라우드용 구독 기반 Microsoft Defender(레거시) 경고 커넥터의 연결을 끊어 경고 중복을 방지합니다.
- 클라우드용 Defender 경고에서 인시던트 만들기에 사용되는 분석 규칙(예약됨(일반 쿼리 유형) 또는 Microsoft 보안(인시던트 생성) 규칙을 끕니다. 클라우드용 Defender 인시던트가 Defender 포털에서 자동으로 만들어지고 Microsoft Sentinel과 동기화됩니다.
- 필요한 경우 자동화 규칙을 사용하여 시끄러운 인시던트 닫거나 Defender 포털의 기본 제공 튜닝 기능을 사용하여 특정 경고를 표시하지 않습니다.
다음 변경 내용도 유의해야 합니다.
- 경고를 Microsoft Defender 포털 인시던트에 연결하는 작업이 제거됩니다.
Microsoft Defender XDR 통합을 사용하여 클라우드 인시던트에 대한 Microsoft Defender 수집에서 자세히 알아보세요.
클라우드용 Defender 경고 끄기
클라우드용 Defender에 대한 경고는 기본적으로 켜져 있습니다. 구독 기반 설정을 유지하고 테넌트 기반 동기화를 방지하거나 환경에서 옵트아웃하려면 다음 단계를 수행합니다.
- Microsoft Defender 포털에서 설정>Microsoft Defender XDR 이동합니다.
- 경고 서비스 설정에서 클라우드 경고에 대한 Microsoft Defender 찾습니다.
- 경고 없음을 선택하여 모든 클라우드용 Defender 경고를 끕니다. 이 옵션을 선택하면 포털에 대한 새 클라우드용 Defender 경고 수집이 중지됩니다. 이전에 수집한 경고는 경고 또는 인시던트 페이지에 남아 있습니다.
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기