Microsoft DART 랜섬웨어 접근 방식 및 모범 사례

인간이 운영하는 랜섬웨어 는 악성 소프트웨어 문제가 아니며 인간의 범죄 문제입니다. 상품 문제를 해결하는 데 사용되는 솔루션은 다음과 같은 국가 위협 행위자를 더 밀접하게 닮은 위협을 방지하기에 충분하지 않습니다.

• 파일을 암호화하기 전에 바이러스 백신 소프트웨어를 사용하지 않도록 설정하거나 제거합니다.
• 검색을 방지하기 위해 보안 서비스 및 로깅을 사용하지 않도록 설정
• 몸값 요구를 보내기 전에 백업을 찾아서 손상하거나 삭제합니다.

이러한 작업은 일반적으로 관리 목적으로 사용자 환경에 이미 있을 수 있는 합법적인 프로그램을 사용하여 수행됩니다. 범죄 손에서 이러한 도구는 악의적으로 공격을 수행하는 데 사용됩니다.

랜섬웨어의 증가하는 위협에 대응하려면 최신 엔터프라이즈 구성, 최신 보안 제품 및 학습된 보안 직원의 경계를 결합하여 데이터가 손실되기 전에 위협을 감지하고 대응해야 합니다.

DART(Microsoft Detection and Response Team)는 고객이 사이버 복원력을 높일 수 있도록 보안 손상에 대응합니다. DART는 현장 사후 대응 및 원격 사전 조사를 제공합니다. DART는 전 세계 보안 조직 및 내부 Microsoft 제품 그룹과 Microsoft의 전략적 파트너십을 사용하여 가능한 가장 완전하고 철저한 조사를 제공합니다.

이 문서에서는 DART가 Microsoft 고객에 대한 랜섬웨어 공격을 처리하는 방법을 설명하므로 고유한 보안 운영 플레이북에 대한 접근 방식 및 모범 사례의 요소를 적용하는 것을 고려할 수 있습니다.

자세한 내용은 다음 섹션을 참조하세요.

• DART에서 Microsoft 보안 서비스를 사용하는 방법
• 랜섬웨어 인시던트 조사를 수행하기 위한 DART 접근 방식
• DART 권장 사항 및 모범 사례

참고 항목

이 문서 콘텐츠는 사람이 운영하는 랜섬웨어를 퇴치하기 위한 A 가이드에서 파생되었습니다. 1 부 및 사람이 운영하는 랜섬웨어 퇴치 가이드: 2 부 Microsoft Security 팀 블로그 게시물.

DART에서 Microsoft 보안 서비스를 사용하는 방법

DART는 모든 조사에 데이터를 많이 사용하고 Office 365용 Microsoft Defender, 엔드포인트용 Microsoft Defender, Microsoft Defender for Identity 및 클라우드용 Microsoft Defender 같은 Microsoft 보안 서비스의 기존 배포를 사용합니다. 앱.

엔드포인트용 Defender

엔드포인트용 Defender는 엔터프라이즈 네트워크 보안 분석가가 고급 위협을 방지, 감지, 조사 및 대응할 수 있도록 설계된 Microsoft의 엔터프라이즈 엔드포인트 보안 플랫폼입니다. 엔드포인트용 Defender는 고급 동작 분석 및 기계 학습을 사용하여 공격을 검색할 수 있습니다. 분석가는 공격자 동작 분석에 엔드포인트용 Defender를 사용할 수 있습니다.

다음은 티켓 전달 공격에 대한 엔드포인트용 Microsoft Defender 경고의 예입니다.

또한 분석가는 고급 헌팅 쿼리를 수행하여 IOC(손상 지표)를 피벗하거나 위협 행위자 그룹을 식별하는 경우 알려진 동작을 검색할 수 있습니다.

다음은 고급 헌팅 쿼리를 사용하여 알려진 공격자 동작을 찾는 방법의 예입니다.

엔드포인트용 Defender에서는 진행 중인 의심스러운 행위자 활동을 Microsoft 위협 전문가 실시간 전문가 수준의 모니터링 및 분석 서비스에 액세스할 수 있습니다. 또한 경고 및 인시던트에 대한 더 많은 인사이트를 요청 시 전문가와 협업할 수 있습니다.

엔드포인트용 Defender에서 자세한 랜섬웨어 활동을 표시하는 방법의 예는 다음과 같습니다.

Defender for Identity

Defender for Identity를 사용하여 알려진 손상된 계정을 조사하고 조직에서 잠재적으로 손상된 계정을 찾습니다. Defender for Identity는 행위자가 DCSync 공격, 원격 코드 실행 시도 및 해시 전달 공격과 같이 자주 사용하는 알려진 악성 활동에 대한 경고를 보냅니다. Defender for Identity를 사용하면 용의자 활동 및 계정을 정확히 파악하여 조사 범위를 좁힐 수 있습니다.

다음은 Defender for Identity가 랜섬웨어 공격과 관련된 알려진 악성 활동에 대한 경고를 보내는 방법의 예입니다.

클라우드용 Defender 앱

클라우드용 Defender 앱(이전에는 Microsoft Cloud App Security라고 함)을 사용하면 분석가가 클라우드 앱에서 비정상적인 동작을 감지하여 랜섬웨어, 손상된 사용자 또는 불량 애플리케이션을 식별할 수 있습니다. 클라우드용 Defender 앱은 사용자가 클라우드 서비스에서 클라우드 서비스 및 데이터 액세스를 모니터링할 수 있도록 하는 Microsoft의 CASB(클라우드 액세스 보안 브로커) 솔루션입니다.

다음은 분석이 클라우드 앱에서 비정상적인 동작을 감지할 수 있도록 하는 클라우드용 Defender 앱 대시보드의 예입니다.

Microsoft Secure Score

Microsoft Defender XDR 서비스 집합은 공격 노출 영역을 줄이기 위한 실시간 수정 권장 사항을 제공합니다. Microsoft 보안 점수는 조직의 보안 상태를 측정하는 것으로, 더 많은 개선 작업이 수행되었음을 나타내는 숫자가 높습니다. 보안 점수 설명서를 참조하여 조직에서 이 기능을 사용하여 환경을 기반으로 하는 수정 작업의 우선 순위를 지정하는 방법에 대해 자세히 알아보세요.

랜섬웨어 인시던트 조사를 수행하기 위한 DART 접근 방식

취약성을 수정할 수 있도록 악의적 사용자가 자산에 액세스하는 방법을 결정하기 위해 모든 노력을 기울여야 합니다. 그렇지 않으면 나중에 동일한 유형의 공격이 다시 발생할 가능성이 높습니다. 경우에 따라 위협 행위자는 자신의 흔적을 감추고 증거를 파기하기 위한 조치를 취하므로 전체 이벤트 체인이 분명하지 않을 수 있습니다.

다음은 DART 랜섬웨어 조사의 세 가지 주요 단계입니다.

단계	목표	초기 질문
1. 현재 상황 평가	범위 이해	처음에 랜섬웨어 공격을 알게 된 것은 무엇인가요? 인시던트에 대해 처음 알게 된 시간/날짜는 언제인가요? 어떤 로그를 사용할 수 있으며 행위자가 현재 시스템에 액세스하고 있다는 표시가 있나요?
2. 영향을 받는 LOB(기간 업무) 앱 식별	시스템을 다시 온라인 상태로 되돌리기	애플리케이션에 ID가 필요합니까? 애플리케이션, 구성 및 데이터의 백업을 사용할 수 있나요? 복원 연습을 사용하여 백업의 콘텐츠와 무결성을 정기적으로 확인합니까?
3. CR(손상 복구) 프로세스 확인	환경에서 공격자 제어 제거	해당 없음

1단계: 현재 상황 평가

현재 상황에 대한 평가는 인시던트 범위를 이해하고 가장 적합한 사람을 결정하고 조사 및 수정 작업을 계획하고 범위를 지정하는 데 중요합니다. 다음 초기 질문을 하는 것은 상황을 결정하는 데 매우 중요합니다.

처음에 랜섬웨어 공격을 알게 된 것은 무엇인가요?

IT 직원이 삭제되는 백업, 바이러스 백신 경고, 엔드포인트 감지 및 응답(EDR) 경고 또는 의심스러운 시스템 변경과 같은 초기 위협을 식별한 경우 일반적으로 모든 인바운드 및 아웃바운드 인터넷 통신을 사용하지 않도록 설정하여 공격을 저지하기 위한 신속한 결정적인 조치를 취할 수 있습니다. 이 위협은 일시적으로 비즈니스 운영에 영향을 줄 수 있지만 일반적으로 랜섬웨어를 배포하는 악의적 사용자보다 영향이 훨씬 적습니다.

IT 기술 지원팀에 대한 사용자 호출이 위협을 식별한 경우 공격의 영향을 방지하거나 최소화하기 위한 방어 조치를 취하기에 충분한 사전 경고가 있을 수 있습니다. 법 집행 기관이나 금융 기관과 같은 외부 기관이 위협을 식별한 경우 피해가 이미 수행되었을 가능성이 높으며, 사용자 환경에서 위협 행위자가 네트워크를 관리 제어할 수 있다는 증거를 볼 수 있습니다. 이 증거는 랜섬웨어 노트, 잠긴 화면 또는 몸값 요구에서 다양할 수 있습니다.

인시던트에 대해 처음 알게 된 날짜/시간은 무엇인가요?

초기 활동 날짜 및 시간을 설정하는 것은 공격자가 빠르게 이길 수 있도록 초기 심사 범위를 좁히는 데 도움이 되므로 중요합니다. 추가 질문에는 다음이 포함될 수 있습니다.

• 해당 날짜에 누락된 업데이트는 무엇인가요? 악의적 사용자가 악용했을 수 있는 취약성을 이해하는 것이 중요합니다.
• 해당 날짜에 사용된 계정은 무엇인가요?
• 해당 날짜 이후 생성된 새 계정은 무엇인가요?

어떤 로그를 사용할 수 있으며 행위자가 현재 시스템에 액세스하고 있다는 표시가 있나요?

바이러스 백신, EDR 및 VPN(가상 사설망)과 같은 로그는 손상된 것으로 의심되는 지표입니다. 후속 질문에는 다음이 포함될 수 있습니다.

• 로그가 Microsoft Sentinel, Splunk, ArcSight 등 SIEM(보안 정보 및 이벤트 관리) 솔루션에서 집계되고 있나요? 이 데이터의 보존 기간은 어떻게 됩니까?
• 비정상적인 활동이 발생하는 손상된 것으로 의심되는 시스템이 있나요?
• 악의적 사용자가 적극적으로 사용하는 것으로 보이는 손상된 것으로 의심되는 계정이 있나요?
• EDR, 방화벽, VPN, 웹 프록시 및 기타 로그에 활성 명령 및 컨트롤(C2s)의 증거가 있나요?

현재 상황을 평가하는 과정의 일환으로 손상되지 않은 AD DS(Active Directory 도메인 Services) 수행기본 컨트롤러, do기본 컨트롤러의 최근 백업 또는 기본 테넌트 또는 업그레이드를 위해 오프라인으로 전환된 최근 do기본 컨트롤러가 필요할 수 있습니다. 또한 회사의 모든 사용자에게 MFA(다단계 인증)가 필요한지 여부와 Microsoft Entra ID가 사용되었는지 확인합니다.

2단계: 인시던트로 인해 사용할 수 없는 LOB 앱 식별

이 단계는 필요한 증거를 얻는 동안 시스템을 다시 온라인 상태로 되돌릴 수 있는 가장 빠른 방법을 파악하는 데 중요합니다.

애플리케이션에 ID가 필요합니까?

• 인증은 어떻게 수행됩니까?
• 인증서 또는 비밀과 같은 자격 증명은 어떻게 저장 및 관리합니까?

애플리케이션, 구성 및 데이터의 테스트된 백업을 사용할 수 있나요?

• 복원 연습을 사용하여 백업의 내용과 무결성을 정기적으로 확인합니까? 이 검사 구성 관리 변경 또는 버전 업그레이드 후에 특히 중요합니다.

3단계: 손상 복구 프로세스 확인

일반적으로 AD DS인 컨트롤 플레인이 손상된 것으로 확인되면 이 단계가 필요할 수 있습니다.

조사에는 항상 CR 프로세스에 직접 공급되는 출력을 제공하는 목표가 있어야 합니다. CR은 환경에서 공격자 제어를 제거하고 설정된 기간 내에 전술적으로 보안 태세를 강화하는 프로세스입니다. CR은 보안 위반 후 발생합니다. CR에 대한 자세한 내용은 Microsoft Compromise Recovery Security Practice 팀의 CRSP: 고객 블로그 문서 옆에 사이버 공격에 맞서 싸우는 응급 팀을 읽어보세요.

1단계와 2단계에서 질문에 대한 응답을 수집한 후 작업 목록을 작성하고 소유자를 할당할 수 있습니다. 성공적인 인시던트 대응 참여의 핵심 요소는 각 작업 항목(예: 소유자, 상태, 결과, 날짜 및 시간)에 대한 철저하고 상세한 설명서이며, 계약 종료 시 결과 컴파일을 간단한 프로세스로 만듭니다.

DART 권장 사항 및 모범 사례

다음은 다트의 권장 사항 및 인시던트 후 활동에 대한 모범 사례입니다.

억제

포함은 포함해야 하는 항목을 결정한 후에만 발생할 수 있습니다. 랜섬웨어의 경우 악의적 사용자의 목표는 고가용성 서버에 대한 관리 제어를 허용하는 자격 증명을 얻은 다음 랜섬웨어를 배포하는 것입니다. 경우에 따라 위협 행위자는 중요한 데이터를 식별하여 제어하는 위치로 전출합니다.

전술 복구는 조직의 환경, 산업 및 IT 전문 지식 및 경험 수준에 대해 고유합니다. 아래에 설명된 단계는 조직에서 수행할 수 있는 단기 및 전술적 봉쇄 단계에 권장됩니다. 장기 지침에 대한 자세한 내용은 권한 있는 액세스 보안을 참조하세요. 랜섬웨어 및 강탈에 대한 포괄적인 보기와 조직을 준비하고 보호하는 방법은 사람이 운영하는 랜섬웨어를 참조하세요.

새 위협 벡터가 검색되면 다음 포함 단계를 동시에 수행할 수 있습니다.

1단계: 상황 범위 평가

• 어떤 사용자 계정이 손상되었나요?
• 영향을 받는 디바이스는 무엇입니까?
• 영향을 받는 애플리케이션은 무엇입니까?

2단계: 기존 시스템 유지

• 관리자가 AD DS 인프라의 무결성을 재설정하는 데 사용하는 소수의 계정을 제외하고 모든 권한 있는 사용자 계정을 사용하지 않도록 설정합니다. 사용자 계정이 손상되어 있다고 생각되면 즉시 사용하지 않도록 설정합니다.
• 손상된 시스템을 네트워크에서 격리하지만 차단하지 마세요.
• 모든 할 일에서 적어도 하나의 알려진 좋은 일을기본 컨트롤러를 격리기본-2는 더 낫다. 네트워크에서 연결을 끊거나 완전히 종료합니다. 개체는 가장 취약한 중 중요한 시스템 ID에 랜섬웨어의 확산을 중지하는 것입니다. 모든 작업기본 컨트롤러가 가상인 경우 가상화 플랫폼 자체가 손상된 경우 가상화 플랫폼의 시스템 및 데이터 드라이브가 네트워크에 연결되지 않은 오프라인 외부 미디어에 백업되는지 확인합니다.
• SAP, CMDB(구성 관리 데이터베이스), 청구 및 회계 시스템과 같은 중요한 알려진 좋은 애플리케이션 서버를 격리합니다.

새 위협 벡터가 검색되면 이러한 두 단계를 동시에 수행할 수 있습니다. 이러한 위협 벡터를 사용하지 않도록 설정한 다음 네트워크에서 격리할 알려진 좋은 시스템을 찾으려고 합니다.

다른 전술적 봉쇄 작업에는 다음이 포함될 수 있습니다.

• krbtgt 암호를 두 번 연속으로 다시 설정합니다. 반복 가능한 스크립트 프로세스를 사용하는 것이 좋습니다. 이 스크립트를 사용하면 작업에 의해 발생하는 Kerberos 인증 문제의 가능성을 최소화하면서 krbtgt 계정 암호 및 관련 키를 다시 설정할 수 있습니다. 잠재적인 문제를 최소화하기 위해 첫 번째 암호 재설정 전에 krbtgt 수명을 한 번 이상 줄여 두 개의 재설정이 신속하게 수행되도록 할 수 있습니다. 환경에서 유지하려는 모든 기본 컨트롤러는 온라인 상태가 되어야 합니다.

• 권한 있는 로그인(do기본 관리s)을 방지하는 그룹 정책을 전체 do기본에 배포합니다( 있는 경우) 컨트롤러 및 권한 있는 관리 전용 워크스테이션(있는 경우)기본.

• 운영 체제 및 애플리케이션에 대한 누락된 모든 보안 업데이트를 설치합니다. 누락된 모든 업데이트는 악의적 사용자가 신속하게 식별하고 악용할 수 있는 잠재적인 위협 벡터입니다. 엔드포인트용 Microsoft Defender위협 및 취약성 관리는 누락된 항목과 누락된 업데이트의 잠재적 영향을 정확하게 확인할 수 있는 쉬운 방법을 제공합니다.

  • Windows 10 이상 디바이스의 경우 모든 디바이스에서 현재 버전(또는 n-1)이 실행 중인지 확인합니다.

  • 맬웨어 감염을 방지하기 위해 ASR(공격 표면 감소) 규칙을 배포합니다.

  • 모든 Windows 10 보안 기능을 사용하도록 설정합니다.

• VPN 액세스를 비롯한 모든 외부 연결 애플리케이션이 다단계 인증으로 보호되고, 보안 디바이스에서 실행되는 인증 애플리케이션을 사용하는 것이 좋습니다.

• 엔드포인트용 Defender를 기본 바이러스 백신 소프트웨어로 사용하지 않는 디바이스의 경우 알려진 격리된 정상 시스템에서 Microsoft 보안 검사 전체 검사를 실행한 후 네트워크에 다시 연결합니다.

• 레거시 운영 체제의 경우 지원되는 OS로 업그레이드하거나 이러한 디바이스를 서비스 해제합니다. 이러한 옵션을 사용할 수 없는 경우 네트워크/VLAN 격리, IPsec(인터넷 프로토콜 보안) 규칙 및 로그인 제한을 포함하여 이러한 디바이스를 격리하기 위해 가능한 모든 조치를 취하여 비즈니스 연속성을 제공하기 위해 사용자/디바이스에서만 애플리케이션에 액세스할 수 있습니다.

가장 위험한 구성은 레거시 하드웨어에서 Windows NT 4.0과 같은 이전 버전의 레거시 운영 체제 및 애플리케이션에서 중요 업무용 시스템을 실행하는 것으로 구성됩니다. 이러한 운영 체제 및 애플리케이션은 안전하지 않고 취약할 뿐만 아니라 해당 하드웨어가 실패할 경우 일반적으로 최신 하드웨어에서 백업을 복원할 수 없습니다. 교체 레거시 하드웨어를 사용할 수 없는 한 이러한 애플리케이션은 작동을 중단합니다. 현재 운영 체제 및 하드웨어에서 실행되도록 이러한 애플리케이션을 변환하는 것이 좋습니다.

인시던트 후 활동

DART는 각 인시던트 후에 다음 보안 권장 사항 및 모범 사례를 구현하는 것이 좋습니다.

• 내부 사용자가 외부 콘텐츠에 쉽고 안전하게 액세스할 수 있도록 허용하면서 공격자가 이를 악용하는 것을 더 어렵게 만드는 이메일 및 공동 작업 솔루션 에 대한 모범 사례가 있는지 확인합니다.

• 내부 조직 리소스에 대한 원격 액세스 솔루션에 대한 제로 트러스트 보안 모범 사례를 따릅니다.

• 중요한 영향 관리자부터 암호 없는 인증 또는 MFA를 사용하는 등 계정 보안에 대한 모범 사례를 따릅니다.

• 권한 있는 액세스 손상의 위험을 줄이기 위한 포괄적인 전략을 구현합니다.

  • 클라우드 및 포리스트/do기본 관리 액세스의 경우 Microsoft의 PAM(권한 있는 액세스 모델)을 사용합니다.

  • 엔드포인트 관리의 경우 LAPS(로컬 관리 암호 솔루션)를 사용합니다.

• 랜섬웨어 기술을 차단하고 공격으로부터 신속하고 안정적인 복구를 확인하기 위해 데이터 보호를 구현합니다.

• 중요한 시스템을 검토합니다. 의도적인 공격자 삭제 또는 암호화에 대한 보호 및 백업을 확인합니다. 이러한 백업을 주기적으로 테스트하고 유효성을 검사하는 것이 중요합니다.

• 엔드포인트, 전자 메일 및 ID에 대한 일반적인 공격을 신속하게 검색하고 수정합니다.

• 환경의 보안 상태를 적극적으로 검색하고 지속적으로 개선합니다.

• 주요 랜섬웨어 이벤트를 관리하고 마찰을 방지하기 위해 아웃소싱을 간소화하도록 조직 프로세스를 업데이트합니다.

PAM

PAM(이전의 계층화된 관리 모델)을 사용하면 다음과 같은 Microsoft Entra ID의 보안 상태가 향상됩니다.

• 각 수준에 대한 "계획" 환경 1 계정에서 관리 계정을 분리합니다(일반적으로 4개).

• 컨트롤 플레인(이전의 계층 0): 관리기본 컨트롤러 및 ADFS(Active Directory Federation Services) 또는 Microsoft Entra 커넥트 같은 기타 중요한 ID 서비스로, Exchange Server와 같은 AD DS에 대한 관리 권한이 필요한 서버 애플리케이션도 포함됩니다.

• 다음 두 비행기는 이전의 계층 1이었습니다.

  • 관리 평면: 자산 관리, 모니터링 및 보안.

  • 데이터/워크로드 평면: 애플리케이션 및 애플리케이션 서버.

• 다음 두 비행기는 이전의 계층 2였습니다.

  • 사용자 액세스: 사용자에 대한 액세스 권한(예: 계정).

  • 앱 액세스: 애플리케이션에 대한 액세스 권한입니다.

• 이러한 각 평면에는 각 평면에 대한 별도의 관리 워크스테이션이 있으며 해당 평면 의 시스템에만 액세스할 수 있습니다. 다른 비행기의 다른 계정은 해당 컴퓨터로 설정된 사용자 권한 할당을 통해 다른 평면의 워크스테이션 및 서버에 대한 액세스가 거부됩니다.

PAM의 순 결과는 다음과 같습니다.

• 손상된 사용자 계정에는 해당 계정이 속한 평면에만 액세스할 수 있습니다.

• 더 중요한 사용자 계정은 평면의 보안 수준이 낮은 워크스테이션 및 서버에 로그인하지 않으므로 횡적 이동이 줄어듭니다.

LAPS

기본적으로 Microsoft Windows 및 AD DS는 워크스테이션 및 멤버 서버에서 로컬 관리 계정을 중앙 집중식으로 관리할 수 없습니다. 이로 인해 이러한 모든 로컬 계정에 대해 또는 최소한 컴퓨터 그룹에서 공통 암호가 제공될 수 있습니다. 이러한 상황을 통해 공격자는 하나의 로컬 관리자 계정을 손상시킨 다음 해당 계정을 사용하여 조직의 다른 워크스테이션 또는 서버에 액세스할 수 있습니다.

Microsoft의 LAPS 는 정책 집합에 따라 워크스테이션 및 서버에서 정기적으로 로컬 관리 암호를 변경하는 그룹 정책 클라이언트 쪽 확장을 사용하여 이를 완화합니다. 이러한 암호는 각각 다르며 AD DS 컴퓨터 개체에 특성으로 저장됩니다. 이 특성은 해당 특성에 할당된 권한에 따라 간단한 클라이언트 애플리케이션에서 검색할 수 있습니다.

LAPS는 추가 특성, LAPS 그룹 정책 템플릿을 설치할 수 있도록 AD DS 스키마를 확장해야 하며, 클라이언트 쪽 기능을 제공하기 위해 모든 워크스테이션 및 멤버 서버에 작은 클라이언트 쪽 확장을 설치해야 합니다.

Microsoft 다운로드 센터에서 LAPS를 가져올 수 있습니다.

추가 랜섬웨어 리소스

Microsoft의 주요 정보:

• 랜섬웨어의 위협이 증가하고 있는 Microsoft On the Issues 블로그 게시물 2021년 7월 20일
• 사람이 운영하는 랜섬웨어
• 랜섬웨어 및 강탈으로부터 신속하게 보호
• 2021년 Microsoft 디지털 방어 보고서(10-19페이지 참조)
• 랜섬웨어: Microsoft Defender 포털의 만연하고 지속적인 위협 위협 분석 보고서
• Microsoft DART 랜섬웨어 사례 연구

Microsoft 365:

• Microsoft 365 테넌트에 대한 랜섬웨어 보호 배포
• Azure 및 Microsoft 365를 사용하여 랜섬웨어 복원력 최대화
• 랜섬웨어 공격으로부터 복구
• 맬웨어 및 랜섬웨어 보호
• 랜섬웨어로부터 Windows 10 PC 보호
• SharePoint Online에서 랜섬웨어 처리
• Microsoft Defender 포털의 랜섬웨어 에 대한 위협 분석 보고서

Microsoft Defender XDR:

• 고급 헌팅으로 랜섬웨어 찾기

Microsoft Azure:

• 랜섬웨어 공격에 대한 Azure 방어
• Azure 및 Microsoft 365를 사용하여 랜섬웨어 복원력 최대화
• 랜섬웨어로부터 보호하기 위한 백업 및 복원 계획
• Microsoft Azure Backup 을 사용하여 랜섬웨어로부터 보호(26분 비디오)
• 시스템 ID 손상으로부터 복구
• Microsoft Sentinel의 고급 다단계 공격 검색
• Microsoft Sentinel에서 랜섬웨어에 대한 Fusion 검색

클라우드용 Microsoft Defender 앱:

• 클라우드용 Defender 앱에서 변칙 검색 정책 만들기

Microsoft 보안 팀 블로그 게시물:

• 랜섬웨어를 방지하고 복구하는 세 가지 단계(2021년 9월)

• 인간이 운영하는 랜섬웨어 퇴치 가이드: 1부(2021년 9월)

  Microsoft의 DART가 랜섬웨어 인시던트 조사를 수행하는 방법에 대한 주요 단계입니다.

• 인간이 운영하는 랜섬웨어 퇴치 가이드: 2부(2021년 9월)

  권장 사항 및 모범 사례.

• 사이버 보안 위험을 이해하여 복원력 향상: 4부 현재 위협 탐색(2021년 5월)

  랜섬웨어 섹션을 참조하세요.

• 사람이 운영하는 랜섬웨어 공격: 예방 가능한 재해(2020년 3월)

  실제 공격의 공격 체인 분석을 포함합니다.

• 랜섬웨어 응답 - 지불하거나 지불하지? (2019년 12월)

• Norsk Hydro, 랜섬웨어 공격에 투명하게 대응(2019년 12월)