클라우드용 Microsoft Defender에 대한 Azure 보안 기준
이 보안 기준은 Azure Security Benchmark 버전 2.0의 참고 자료를 클라우드용 Microsoft Defender에 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 이 콘텐츠는 Azure Security Benchmark에 의해 정의된 보안 컨트롤 및 클라우드용 Microsoft Defender에 해당하는 관련 가이드를 기준으로 그룹화되어 있습니다.
클라우드용 Microsoft Defender를 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 대시보드의 규정 준수 섹션에 나열됩니다.
섹션에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.
참고
클라우드용 Microsoft Defender에 적용되지 않는 컨트롤 및 글로벌 지침이 그대로 권장되는 컨트롤은 제외되었습니다. 클라우드용 Microsoft Defender가 Azure Security Benchmark에 완전히 매핑되는 방법을 확인하려면 클라우드용 Microsoft Defender 전체 보안 기준 매핑 파일을 참조하세요.
네트워크 보안
자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.
NS-7: 보안 DNS(Domain Name Service)
참고 자료: 클라우드용 Microsoft Defender는 기본 DNS 구성을 노출하지 않습니다. Microsoft는 이러한 설정을 유지 관리합니다.
책임: Microsoft
ID 관리
자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.
IM-1: Azure Active Directory를 중앙 ID 및 인증 시스템으로 표준화
참고 자료: 클라우드용 Microsoft Defender는 Azure AD(Azure Active Directory)를 기본 ID 및 액세스 관리 서비스로 사용합니다. Azure AD를 표준화하여 다음에서 조직의 ID 및 액세스 관리를 제어합니다.
다음과 같은 Microsoft 클라우드 리소스:
Azure Portal
Azure Storage
Azure Linux 및 Windows 가상 머신
Azure Key Vault
PaaS(Platform-as-a-Service)
SaaS(Software-as-a-Service) 응용프로그램
조직의 리소스(예: Azure의 애플리케이션 또는 회사 네트워크 리소스)
Azure AD 보안은 조직의 클라우드 보안 사례에서 우선 순위가 높아야 합니다. Azure AD는 ID 보안 태세를 Microsoft의 모범 사례 권장 사항과 비교할 수 있도록 ID 보안 점수를 제공합니다. 점수를 사용하여 구성이 모범 사례 권장 사항에 얼마나 근접하게 일치하는지 측정하고 보안 태세를 개선할 수 있습니다.
참고: Azure AD는 Microsoft 계정이 없는 사용자가 애플리케이션 및 리소스에 로그인할 수 있도록 하는 외부 ID를 지원합니다.
책임: 공유됨
IM-7: 의도하지 않은 자격 증명 노출 제거
지침: 해당 사항 없음 클라우드용 Microsoft Defender는 고객이 실행 환경에 영구 데이터를 배포하도록 허용하지 않습니다.
책임: Customer
권한 있는 액세스
자세한 내용은 Azure Security Benchmark: 권한 있는 액세스를 참조하세요.
PA-3: 정기적으로 사용자 액세스 검토 및 조정
참고 자료: 클라우드용 Microsoft Defender는 Azure AD 계정을 사용하여 리소스를 관리합니다. 사용자 계정 및 액세스 할당을 정기적으로 검토하여 계정 및 액세스 권한이 유효한지 확인합니다. Azure AD 액세스 검토를 사용하여 그룹 구성원, 엔터프라이즈 애플리케이션 액세스 및 역할 할당을 검토할 수 있습니다.
Azure AD 보고는 부실 계정을 검색하는 데 도움이 되는 로그를 제공할 수 있습니다. Azure AD PIM(Privileged Identity Management)에서 액세스 검토 보고서 워크플로를 만들어 검토 프로세스를 간소화할 수도 있습니다.
관리자 계정이 너무 많으면 경고하도록 Azure AD PIM을 구성할 수도 있습니다. PIM은 오래되었거나 부적절하게 구성된 관리자 계정을 식별할 수 있습니다.
책임: Customer
클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 계획이 필요할 수 있습니다.
Azure Policy 기본 제공 정의 - Microsoft.Security:
| Name (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 더 이상 사용되지 않는 계정은 구독에서 제거해야 합니다. | 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. | 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 소유자 권한이 있는 외부 계정은 구독에서 제거해야 합니다. | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
PA-6: 권한 있는 액세스 워크스테이션 사용
참고 자료: 안전하고 격리된 워크스테이션은 관리자, 개발자 및 중요한 서비스 운영자와 같은 중요한 역할을 보호하는 데 매우 중요합니다. 보안이 높은 사용자 워크스테이션 또는 Azure Bastion 관리 작업을 클라우드용 Microsoft Defender에 사용합니다.
Azure AD, Microsoft Defender ATP(Advanced Threat Protection) 또는 Microsoft Intune을 사용하여 관리 작업에 사용되는 안전한 관리형 사용자 워크스테이션을 배포합니다. 보안 워크스테이션을 중앙에서 관리하여 다음을 포함하는 보안 구성을 적용할 수 있습니다.
강력한 인증
소프트웨어 및 하드웨어 기준
제한된 논리적 액세스 및 네트워크 액세스
자세한 내용은 다음 참조 문서를 참조하세요.
책임: Customer
PA-7: 충분한 관리의 최소 권한 원칙 준수
참고 자료: 클라우드용 Microsoft Defender는 Azure RBAC와 통합하여 리소스에 대한 액세스를 관리합니다. RBAC를 사용하여 역할 할당을 통해 Azure 리소스 액세스를 관리합니다. 사용자, 그룹, 서비스 주체 및 관리 ID에 역할을 할당할 수 있습니다.
특정 리소스에는 미리 정의된 기본 제공 역할이 있습니다. Azure CLI, Azure PowerShell 또는 Azure Portal과 같은 도구를 통해 이러한 역할을 인벤토리화하거나 쿼리할 수 있습니다.
Azure RBAC를 통해 리소스에 할당하는 권한을 역할에 필요한 권한으로 제한합니다. 이 방법은 Azure AD PIM의 JIT(Just-In-Time) 방법을 보완합니다. 역할과 할당을 주기적으로 검토합니다.
기본 제공 역할을 사용하여 권한을 할당하고 필요할 때만 사용자 지정 역할을 만듭니다.
책임: Customer
PA-8: Microsoft 지원에 대한 승인 프로세스 선택
참고 자료: 클라우드용 Microsoft Defender는 고객 Lockbox를 지원하지 않습니다. Microsoft는 고객 데이터 액세스에 대한 승인을 위해 비 Lockbox 방법을 통해 고객과 협력하고 있습니다.
책임: Customer
데이터 보호
자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.
DP-4: 전송 중인 중요한 정보 암호화
지침: 전송 중인 모든 중요한 정보를 암호화합니다. Azure 리소스에 연결하는 모든 클라이언트가 TLS(전송 계층 보안) 1.2 이상과 협상할 수 있는지 확인합니다. Log Analytics 에이전트를 사용하여 TLS 1.2를 통해 클라우드용 Microsoft Defender로 데이터를 보내는 가상 머신을 구성합니다.
해당되는 경우 미사용 데이터 암호화 및 전송 중 암호화에 대한 Azure 클라우드용 Microsoft Defender 권장 사항을 따릅니다.
책임: Customer
DP-5: 중요한 미사용 데이터 암호화
참고 자료: 클라우드용 Microsoft Defender는 생성되는 데이터, 경고 및 권장 사항을, 구성된 Log Analytics 작업 영역을 사용하여 저장합니다. 클라우드용 Microsoft Defender 데이터 수집에 사용할 작업 영역에 대해 CMK(고객 관리형 키)를 구성합니다. CMK는 사용자가 만들고 소유한 Azure Key Vault 키를 통해 작업 영역에 저장 또는 전송된 모든 데이터를 암호화합니다.
책임: 공유됨
클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 계획이 필요할 수 있습니다.
Azure Policy 기본 제공 정의 - Microsoft.Security:
| Name (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 합니다. | 디스크 암호화를 사용하도록 설정되어 있지 않은 가상 머신은 클라우드용 Microsoft Defender에서 권장 사항으로 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
자산 관리
자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.
AM-1: 보안 팀이 자산 위험을 확인할 수 있는지 확인
참고 자료: 보안 팀에 Azure 테넌트 및 구독에서 보안 읽기 권한자 권한을 부여해야 클라우드용 Microsoft Defender를 사용하여 보안 위험을 모니터링할 수 있습니다.
보안 위험에 대한 모니터링은 책임을 구성하는 방법에 따라 중앙 보안 팀 또는 로컬 팀의 책임이 될 수 있습니다. 항상 조직 내 중앙에서 보안 인사이트와 위험을 집계합니다.
보안 읽기 권한자 권한을 전체 테넌트의 루트 관리 그룹에 광범위하게 적용하거나 권한 범위를 특정 관리 그룹 또는 구독에 적용할 수 있습니다.
참고: 워크로드 및 서비스를 표시하려면 더 많은 권한이 필요할 수도 있습니다.
책임: Customer
AM-2: 보안 팀에서 자산 인벤토리와 메타데이터에 액세스할 수 있는지 확인
참고 자료: 보안 팀이 클라우드용 Microsoft Defender와 같이 Azure에서 지속적으로 업데이트되는 자산 인벤토리에 액세스할 수 있는지 확인합니다. 조직이 새로운 위험에 노출될 가능성을 평가하기 위해 그리고 지속적인 보안 개선을 위한 노력의 일환으로 보안 팀에 이 인벤토리가 필요한 경우가 많습니다. 조직의 권한 있는 보안 팀을 포함할 Azure AD 그룹을 만듭니다. 또한 모든 클라우드용 Microsoft Defender 리소스에 대한 읽기 권한을 할당합니다. 구독에서 상위 수준 역할 할당 하나를 사용하여 프로세스를 간소화할 수 있습니다.
Azure 리소스, 리소스 그룹, 구독에 태그를 적용하여 논리적인 분류 체계로 구성합니다. 각 태그는 이름과 값 쌍으로 구성됩니다. 예를 들어 프로덕션의 모든 리소스에 "환경" 이름과 "프로덕션" 값을 적용할 수 있습니다.
클라우드용 Microsoft Defender는 자신의 리소스에서 애플리케이션의 실행이나 소프트웨어 설치를 허용하지 않습니다.
책임: Customer
AM-3: 승인된 Azure 서비스만 사용
참고 자료: Azure Policy를 사용하여 환경에서 사용자가 프로비전할 수 있는 서비스를 감사하고 제한합니다. Azure Resource Graph를 사용하여 구독 내에서 리소스를 쿼리하고 검색합니다. 또한 Azure Monitor를 사용하여 승인되지 않은 서비스를 검색할 때 경고를 트리거하는 규칙을 만들 수 있습니다.
책임: Customer
로깅 및 위협 탐지
자세한 내용은 Azure Security Benchmark: 로깅 및 위협 탐지를 참조하세요.
LT-1: Azure 리소스에 위협 탐지 사용
참고 자료: 클라우드용 Microsoft Defender의 모든 로그를 SIEM으로 전달합니다. SIEM을 사용하여 사용자 지정 위협 탐지를 설정할 수 있습니다.
다양한 유형의 Azure 자산을 모니터링하여 잠재적 위협 및 비정상 활동이 있는지 확인합니다. 분석가가 면밀히 살펴볼 수 있도록 가양성을 줄여 고품질 경고를 얻는 데 중점을 둡니다. 로그 데이터, 에이전트 또는 기타 데이터에서 경고를 소싱할 수 있습니다.
책임: Customer
클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 계획이 필요할 수 있습니다.
Azure Policy 기본 제공 정의 - Microsoft.Security:
| Name (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| App Service용 Microsoft Defender를 사용하도록 설정해야 함 | Microsoft Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| Azure SQL Database 서버용 Microsoft Defender를 사용하도록 설정해야 함 | Microsoft Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| 컨테이너 레지스트리용 Microsoft Defender를 사용하도록 설정해야 함 | 컨테이너 레지스트리용 Microsoft Defender는 지난 30일 내에 끌어와서 레지스트리에 푸시한 이미지의 취약성을 검사하고, 각 이미지에 대해 발견한 자세한 내용을 공개합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| DNS용 Microsoft Defender를 사용하도록 설정해야 합니다. | Microsoft Defender for DNS는 Azure 리소스의 모든 DNS 쿼리를 지속적으로 모니터링하여 클라우드 리소스에 대한 추가 보호 계층을 제공합니다. Microsoft Defender는 DNS 계층에서 의심스러운 작업에 대해 경고합니다. https://aka.ms/defender-for-dns에서 DNS용 Microsoft Defender의 기능에 대해 자세히 알아봅니다. 이 Microsoft Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| Key Vault용 Microsoft Defender를 사용하도록 설정해야 함 | Key Vault용 Microsoft Defender는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| Kubernetes용 Microsoft Defender를 사용하도록 설정해야 함 | Kubernetes용 Microsoft Defender는 실시간 위협 방지를 컨테이너화된 환경에 제공하고 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| Resource Manager용 Microsoft Defender를 사용하도록 설정해야 합니다. | Resource Manager용 Microsoft Defender는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Microsoft Defender는 위협을 검색하고 의심스러운 작업에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Resource Manager용 Microsoft Defender의 기능에 대해 자세히 알아봅니다. 이 Microsoft Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 서버용 Microsoft Defender를 사용하도록 설정해야 함 | 서버용 Microsoft Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| 컴퓨터에서 SQL Server용 Microsoft Defender를 사용하도록 설정해야 함 | Microsoft Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| 스토리지용 Microsoft Defender를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
LT-2: Azure ID 및 액세스 관리에 위협 탐지 사용
참고 자료: 활동 로그 또는 클라우드용 Microsoft Defender 데이터에서 원치 않거나 비정상적인 활동을 쿼리하도록 Azure Monitor 로그 경고를 구성합니다. 비정상적인 활동이 로그 경고를 시작하는 경우 작업을 수행하도록 조직에 알리도록 작업 그룹을 설정합니다.
클라우드용 Microsoft Defender 워크플로 자동화를 사용하여 보안 경고 및 권장 사항에 대한 논리 앱을 트리거합니다. 클라우드용 Microsoft Defender 워크플로를 사용하여 사용자에게 인시던트 대응을 알리거나 경고 정보를 기반으로 수정 작업을 수행합니다.
클라우드용 Microsoft Defender 데이터 및 해당 활동 로그를 사용하도록 설정하고 Microsoft Sentinel에 온보딩할 수도 있습니다. Microsoft Sentinel은 보안 관련 문제에 대한 자동화된 위협 대응을 허용하는 플레이북을 지원합니다.
책임: Customer
클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 계획이 필요할 수 있습니다.
Azure Policy 기본 제공 정의 - Microsoft.Security:
| Name (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| App Service용 Microsoft Defender를 사용하도록 설정해야 함 | Microsoft Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| Azure SQL Database 서버용 Microsoft Defender를 사용하도록 설정해야 함 | Microsoft Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| 컨테이너 레지스트리용 Microsoft Defender를 사용하도록 설정해야 함 | 컨테이너 레지스트리용 Microsoft Defender는 지난 30일 내에 끌어와서 레지스트리에 푸시한 이미지의 취약성을 검사하고, 각 이미지에 대해 발견한 자세한 내용을 공개합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| DNS용 Microsoft Defender를 사용하도록 설정해야 합니다. | Microsoft Defender for DNS는 Azure 리소스의 모든 DNS 쿼리를 지속적으로 모니터링하여 클라우드 리소스에 대한 추가 보호 계층을 제공합니다. Microsoft Defender는 DNS 계층에서 의심스러운 작업에 대해 경고합니다. https://aka.ms/defender-for-dns에서 DNS용 Microsoft Defender의 기능에 대해 자세히 알아봅니다. 이 Microsoft Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| Key Vault용 Microsoft Defender를 사용하도록 설정해야 함 | Key Vault용 Microsoft Defender는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| Kubernetes용 Microsoft Defender를 사용하도록 설정해야 함 | Kubernetes용 Microsoft Defender는 실시간 위협 방지를 컨테이너화된 환경에 제공하고 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| Resource Manager용 Microsoft Defender를 사용하도록 설정해야 합니다. | Resource Manager용 Microsoft Defender는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Microsoft Defender는 위협을 검색하고 의심스러운 작업에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Resource Manager용 Microsoft Defender의 기능에 대해 자세히 알아봅니다. 이 Microsoft Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 서버용 Microsoft Defender를 사용하도록 설정해야 함 | 서버용 Microsoft Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| 컴퓨터에서 SQL Server용 Microsoft Defender를 사용하도록 설정해야 함 | Microsoft Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| 스토리지용 Microsoft Defender를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
LT-4: Azure 리소스에 대한 로깅 사용
참고 자료: 활동 로그는 자동으로 제공됩니다. 로그에는 클라우드용 Microsoft Defender 리소스에 대한 모든 PUT, POST 및 DELETE 작업이 포함되지만 GET 작업은 포함되지 않습니다. 문제를 해결할 때 활동 로그를 사용하여 오류를 찾거나 사용자가 리소스를 수정한 방법을 모니터링할 수 있습니다.
클라우드용 Microsoft Defender에 대한 Azure 리소스 로그를 사용하도록 설정합니다. Microsoft Defender for Cloud 및 Azure Policy를 사용하여 리소스 로그 및 로그 데이터 수집을 사용하도록 설정할 수 있습니다. 이러한 로그는 보안 인시던트 조사 및 포렌식 연습을 수행하는 데 중요할 수 있습니다.
클라우드용 Microsoft Defender는 로컬 관리자 계정에 대한 보안 감사 로그도 생성합니다. 이러한 로컬 관리자 감사 로그를 사용하도록 설정합니다.
책임: Customer
LT-5: 보안 로그 관리 및 분석 중앙 집중화
참고 자료: 클라우드용 Microsoft Defender 및 연결된 원본이 중앙 Log Analytics 작업 영역에 생성하는 보안 데이터를 집계합니다.
보안 데이터 및 이벤트를 연결된 Azure 컴퓨팅 리소스에서 중앙 Log Analytics 작업 영역으로 보내도록 클라우드용 Microsoft Defender의 데이터 수집을 구성합니다. 또한 연속 내보내기 기능을 사용하여 클라우드용 Microsoft Defender 보안 경고 및 권장 사항을 중앙 Log Analytics 작업 영역으로 스트리밍합니다. Azure Monitor를 사용하여 클라우드용 Microsoft Defender 및 연결된 Azure 리소스의 보안 데이터를 쿼리하고 분석합니다.
클라우드용 Microsoft Defender에서 생성하는 데이터를 Microsoft Sentinel 또는 타사 SIEM에 보낼 수도 있습니다.
책임: Customer
클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 계획이 필요할 수 있습니다.
Azure Policy 기본 제공 정의 - Microsoft.Security:
| Name (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 구독에 Log Analytics 에이전트의 자동 프로비저닝을 사용하도록 설정해야 함 | 보안 취약성 및 위협을 모니터링하기 위해 클라우드용 Microsoft Defender는 Azure 가상 머신에서 데이터를 수집합니다. 데이터는 이전에 MMA(Microsoft Monitoring Agent)로 알려진 Log Analytics 에이전트에 의해 수집되며, 머신에서 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석을 위해 Log Analytics 작업 영역에 데이터를 복사합니다. 지원되는 모든 Azure VM과 생성된 모든 새 VM에 에이전트를 자동으로 배포하려면 자동 프로비저닝을 사용하도록 설정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| 머신에서 Log Analytics 에이전트 상태 문제를 해결해야 함 | Security Center는 Log Analytics 에이전트(이전의 MMA(Microsoft Monitoring Agent))를 사용합니다. 가상 머신이 모니터링되는 것을 확인하려면 에이전트가 가상 머신에 설치되어 있고 구성된 작업 영역에 대한 보안 이벤트를 제대로 수집하는지 확인해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 클라우드용 Microsoft Defender 모니터링을 위해 가상 머신에 Log Analytics 에이전트를 설치해야 합니다. | 이 정책은 Security Center가 보안 취약성 및 위협을 모니터링하는 데 사용할 Log Analytics 에이전트가 설치되어 있지 않은 경우 Windows/Linux VMs(Virtual Machines)를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 클라우드용 Microsoft Defender 모니터링을 위해 가상 머신 확장 집합에 Log Analytics 에이전트를 설치해야 합니다. | Security Center는 Azure VMs(Virtual Machines)에서 데이터를 수집하여 보안 취약성 및 위협을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
LT-6: 로그 스토리지 보존 구성
참고 자료: 클라우드용 Microsoft Defender 로그를 저장하는 데 사용하는 스토리지 계정 또는 Log Analytics 작업 영역에 조직의 준수 규정에 따라 설정된 로그 보존 기간이 설정되어 있는지 확인합니다.
책임: Customer
LT-7: 승인된 시간 동기화 원본 사용
지침: 해당 사항 없음 클라우드용 Microsoft Defender는 구성을 위해 고객에게 노출되지 않는 Microsoft 시간 동기화 원본을 사용합니다.
책임: Microsoft
태세 및 취약성 관리
자세한 내용은 Azure Security Benchmark: 태세 및 취약성 관리를 참조하세요.
PV-1: Azure 서비스에 대한 보안 구성 설정
참고 자료: Azure Blueprints를 사용하여 클라우드용 Microsoft Defender 서비스 및 애플리케이션 환경의 배포 및 구성을 자동화합니다. 단일 청사진 정의에는Azure Resource Manager 템플릿, RBAC 역할 할당 및 Azure Policy 할당이 포함될 수 있습니다.
책임: Customer
PV-2: Azure 서비스에 대한 보안 구성 유지
참고 자료: 클라우드용 Microsoft Defender를 사용하여 구성 기준을 모니터링합니다. Azure Policy [거부] 및 [존재하지 않는 경우 배포]를 사용하여 VM(가상 머신) 및 컨테이너를 포함한 Azure 컴퓨팅 리소스 전체에 보안 구성을 적용합니다.
책임: Customer
PV-6: 소프트웨어 취약성 평가 수행
참고 자료: Microsoft는 클라우드용 Microsoft Defender를 지원하는 기본 시스템에서 취약성 관리를 수행합니다.
책임: Microsoft
클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 컨트롤과 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 계획이 필요할 수 있습니다.
Azure Policy 기본 제공 정의 - Microsoft.Security:
| Name (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 가상 머신을 감사하여 지원되는 취약성 평가 솔루션을 실행하고 있는지 검색합니다. 모든 사이버 위험 및 보안 프로그램의 핵심 구성 요소는 취약성을 식별하고 분석하는 것입니다. 클라우드용 Microsoft Defender의 표준 가격 책정 계층에는 추가 비용 없이 가상 머신에 대한 취약성 검사가 포함됩니다. 또한 Security Center가 자동으로 도구를 배포할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| SQL 데이터베이스가 발견한 취약성을 해결해야 함 | 취약성 평가 검사 결과 및 데이터베이스 취약성을 해결하는 방법에 대한 권장 사항을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
| 컴퓨터의 SQL Server는 발견한 취약성을 해결해야 함 | SQL 취약성 평가는 데이터베이스를 검사하여 보안 취약성을 찾아내고, 구성 오류, 과도한 권한, 보호되지 않는 중요한 데이터 등과 같이 모범 사례를 따르지 않는 부분을 공개합니다. 발견된 취약성을 해결하면 데이터베이스 보안 상태가 크게 향상될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Container Registry 이미지의 취약성을 수정해야 함 | 컨테이너 이미지 취약성 평가는 레지스트리를 검사하여 푸시된 각 컨테이너 이미지의 보안 취약성을 확인하고 각 이미지에 대한 결과를 공개합니다(Qualys에서 제공). 취약성을 해결하면 컨테이너의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
PV-8: 정기적인 공격 시뮬레이션 수행
지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 작업을 수행하고 모든 중요한 보안 결과를 수정합니다.
Microsoft 클라우드 침투 테스트 사용자 참여 규칙을 따라 침투 테스트가 Microsoft 정책을 위반하지 않도록 합니다. Microsoft의 Red Teaming 전략 및 실행을 사용합니다. Microsoft 관리 클라우드 인프라, 서비스 및 응용프로그램에 대한 실시간 사이트 침투 테스트를 수행합니다.
책임: Customer
다음 단계
- Azure Security Benchmark V2 개요를 참조하세요.
- Azure 보안 기준에 대해 자세히 알아보세요.