보안 제어: 엔드포인트 보안
엔드포인트 보안은 클라우드 환경에서 엔드포인트에 대해 EDR(엔드포인트 검색 및 응답) 및 맬웨어 방지 서비스를 사용하는 것을 포함하여 엔드포인트 검색 및 응답의 컨트롤을 포함합니다.
ES-1: EDR(엔드포인트 검색 및 응답) 사용
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.7 | SC-3, SI-2, SI-3, SI-16 | 11.5 |
보안 원칙: VM에 EDR(엔드포인트 감지 및 응답) 기능을 사용하도록 설정하고 SIEM 및 보안 운영 프로세스와 통합합니다.
Azure 지침: 엔드포인트용 Microsoft Defender 통합된 서버용 Microsoft Defender 고급 위협을 방지, 검색, 조사 및 대응하는 EDR 기능을 제공합니다.
클라우드용 Microsoft Defender 사용하여 엔드포인트의 서버에 대한 Microsoft Defender 배포하고 경고를 Microsoft Sentinel과 같은 SIEM 솔루션에 통합합니다.
Azure 구현 및 추가 컨텍스트:
- 서버용 Azure Defender 소개
- 엔드포인트용 Microsoft Defender 개요
- 컴퓨터에 대한 클라우드용 Microsoft Defender 기능 적용 범위
- 서버용 Defender 커넥터를 SIEM에 통합
AWS 지침: AWS 계정을 클라우드용 Microsoft Defender 온보딩하고 EC2 인스턴스에 서버용 Microsoft Defender 배포(엔드포인트용 Microsoft Defender 통합)하여 고급 위협을 방지, 검색, 조사 및 대응하는 EDR 기능을 제공합니다.
또는 Amazon GuardDuty 통합 위협 인텔리전스 기능을 사용하여 EC2 인스턴스를 모니터링하고 보호합니다. Amazon GuardDuty는 암호 화폐 마이닝, DBA(도메인 생성 알고리즘)를 사용하는 맬웨어, 아웃바운드 서비스 거부 활동, 비정상적으로 많은 양의 네트워크 트래픽, 비정상적인 네트워크 프로토콜, 아웃바운드 instance 같은 instance 손상을 나타내는 활동과 같은 비정상적인 활동을 검색할 수 있습니다. 알려진 악성 IP와의 통신, 외부 IP 주소에서 사용하는 임시 Amazon EC2 자격 증명 및 DNS를 사용한 데이터 반출.
AWS 구현 및 추가 컨텍스트:
GCP 지침: GCP 프로젝트를 클라우드용 Microsoft Defender 온보딩하고 가상 머신 인스턴스에 서버용 Microsoft Defender 배포(엔드포인트용 Microsoft Defender 통합)하여 고급 위협을 방지, 검색, 조사 및 대응하는 EDR 기능을 제공합니다.
또는 통합 위협 인텔리전스를 위해 Google의 보안 명령 센터를 사용하여 가상 머신 인스턴스를 모니터링하고 보호합니다. 보안 명령 센터는 잠재적으로 유출된 자격 증명, 암호 화폐 마이닝, 잠재적으로 악의적인 애플리케이션, 악의적인 네트워크 활동 등과 같은 비정상적인 활동을 검색할 수 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
ES-2: 최신 맬웨어 방지 소프트웨어 사용
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 10.1 | SC-3, SI-2, SI-3, SI-16 | 5.1 |
보안 원칙: 실시간 보호 및 정기적 검사를 수행할 수 있는 맬웨어 방지 솔루션(엔드포인트 보호라고도 함)을 사용합니다.
Azure 지침: 클라우드용 Microsoft Defender Azure Arc가 구성된 가상 머신 및 온-프레미스 머신에 널리 사용되는 여러 맬웨어 방지 솔루션의 사용을 자동으로 식별하고 상태 실행되는 엔드포인트 보호를 보고하고 권장 사항을 만들 수 있습니다.
Microsoft Defender 바이러스 백신은 Windows 서버 2016 이상을 위한 기본 맬웨어 방지 솔루션입니다. Windows 서버 2012 R2의 경우 SCEP(System Center Endpoint Protection)를 활성화하려면 Microsoft Antimalware 확장자를 사용하세요. Linux VM의 경우 엔드포인트 보호 기능에 Linux의 엔드포인트용 Microsoft Defender를 사용하세요.
Windows와 Linux 모두 클라우드용 Microsoft Defender를 사용하여 맬웨어 방지 솔루션의 상태를 검색하고 평가할 수 있습니다.
참고: 클라우드용 Microsoft Defender의 Storage용 Defender를 사용하여 Azure Storage 계정에 업로드된 맬웨어를 검색할 수도 있습니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: 클라우드용 Microsoft Defender Azure Arc가 구성된 EC2 인스턴스에 대한 인기 있는 맬웨어 방지 솔루션 사용을 자동으로 식별하고 상태 실행되는 엔드포인트 보호를 보고하고 권장 사항을 만들 수 있도록 AWS 계정을 클라우드용 Microsoft Defender 온보딩합니다.
Microsoft Defender 바이러스 백신 배포는 Windows 서버 2016 이상을 위한 기본 맬웨어 방지 솔루션입니다. EC2 인스턴스 실행 Windows 서버 2012 R2의 경우 SCEP(System Center Endpoint Protection)를 활성화하려면 Microsoft Antimalware 확장자를 사용하세요. EC2 인스턴스 실행 Linux의 경우 엔드포인트 보호 기능에 Linux의 엔드포인트용 Microsoft Defender를 사용하세요.
Windows와 Linux 모두 클라우드용 Microsoft Defender를 사용하여 맬웨어 방지 솔루션의 상태를 검색하고 평가할 수 있습니다.
참고: Microsoft Defender Cloud는 검색 및 상태 상태 평가를 위해 특정 타사 엔드포인트 보호 제품도 지원합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: 클라우드용 Microsoft Defender Azure Arc가 구성된 가상 머신 인스턴스에 대한 인기 있는 맬웨어 방지 솔루션의 사용을 자동으로 식별하고 엔드포인트 보호 상태 보고하고 권장 사항을 만들 수 있도록 GCP 프로젝트를 클라우드용 Microsoft Defender 온보딩합니다.
Microsoft Defender 바이러스 백신 배포는 Windows 서버 2016 이상을 위한 기본 맬웨어 방지 솔루션입니다. Windows Server 2012 R2를 실행하는 가상 머신 인스턴스의 경우 Microsoft Antimalware 확장을 사용하여 SCEP(System Center Endpoint Protection)를 사용하도록 설정합니다. Linux를 실행하는 가상 머신 인스턴스의 경우 엔드포인트 보호 기능에 Linux의 엔드포인트용 Microsoft Defender 사용합니다.
Windows와 Linux 모두 클라우드용 Microsoft Defender를 사용하여 맬웨어 방지 솔루션의 상태를 검색하고 평가할 수 있습니다.
참고: Microsoft Defender Cloud는 검색 및 상태 상태 평가를 위해 특정 타사 엔드포인트 보호 제품도 지원합니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
ES-3: 맬웨어 방지 소프트웨어 및 서명이 업데이트되는지 확인
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 10.2 | SI-2, SI-3 | 5.2 |
보안 원칙: 맬웨어 방지 솔루션을 위해 맬웨어 방지 서명이 빠르고 일관되게 업데이트되도록 합니다.
Azure 지침: 클라우드용 Microsoft Defender의 권장 사항에 따라 모든 엔드포인트를 최신 서명으로 최신 상태로 유지합니다. Microsoft Antimalware(Windows의 경우) 및 엔드포인트용 Microsoft Defender(Linux의 경우)는 기본적으로 최신 서명 및 엔진 업데이트를 자동으로 설치합니다.
타사 솔루션의 경우 타사 맬웨어 방지 솔루션에 서명이 업데이트되어 있는지 확인합니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: AWS 계정이 클라우드용 Microsoft Defender에 온보딩된 상태에서 클라우드용 Microsoft Defender 권장 사항에 따라 모든 엔드포인트를 최신 서명으로 최신 상태로 유지합니다. Microsoft Antimalware(Windows의 경우) 및 엔드포인트용 Microsoft Defender(Linux의 경우)는 기본적으로 최신 서명 및 엔진 업데이트를 자동으로 설치합니다.
타사 솔루션의 경우 타사 맬웨어 방지 솔루션에 서명이 업데이트되어 있는지 확인합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: GCP 프로젝트가 클라우드용 Microsoft Defender 온보딩된 상태에서 클라우드용 Microsoft Defender 권장 사항에 따라 모든 EDR 솔루션을 최신 서명으로 최신 상태로 유지합니다. Microsoft Antimalware(Windows의 경우) 및 엔드포인트용 Microsoft Defender(Linux의 경우)는 기본적으로 최신 서명 및 엔진 업데이트를 자동으로 설치합니다.
타사 솔루션의 경우 타사 맬웨어 방지 솔루션에 서명이 업데이트되어 있는지 확인합니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :