제로 트러스트 Microsoft Sentinel 및 Microsoft Defender XDR 구현
이 솔루션 가이드에서는 Microsoft Sentinel과 함께 Microsoft XDR(확장 검색 및 대응) 도구를 설정하여 사이버 보안 공격에 대응하고 수정하는 조직의 기능을 가속화하는 프로세스를 안내합니다.
Microsoft Defender XDR은 Microsoft 365 환경에서 신호, 위협 및 경고 데이터를 자동으로 수집, 상관 관계 및 분석하는 XDR 솔루션입니다.
Microsoft Sentinel은 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 기능을 제공하는 클라우드 네이티브 솔루션입니다. Microsoft Sentinel과 Microsoft Defender XDR은 조직이 최신 공격 방어에 도움이 되는 포괄적인 솔루션을 제공합니다.
이 지침은 다음과 같은 방법으로 제로 트러스트 원칙을 매핑하여 제로 트러스트 아키텍처를 완성하는 데 도움이 됩니다.
제로 트러스트 원칙 | Met by |
---|---|
명시적으로 확인 | Microsoft Sentinel은 환경 전체에서 데이터를 수집하고 위협 및 변칙을 분석하여 조직 및 구현된 모든 자동화가 사용 가능하고 확인된 모든 데이터 요소를 기반으로 작동할 수 있도록 합니다. Microsoft Defender XDR은 사용자, ID, 디바이스, 앱 및 전자 메일에서 확장 검색 및 응답을 제공합니다. Microsoft Defender XDR에서 캡처한 위험 기반 신호를 사용하여 위험 수준에 따라 트래픽 차단 또는 권한 부여와 같은 작업을 수행하도록 Microsoft Sentinel 자동화를 구성합니다. |
최소 권한 액세스 사용 | Microsoft Sentinel은 UEBA(사용자 엔터티 동작 분석) 엔진을 통해 비정상적인 활동을 검색합니다. 보안 시나리오는 시간이 지남에 따라 매우 빠르게 변할 수 있으므로 Microsoft Sentinel의 위협 인텔리전스는 Microsoft 또는 타사 공급자도 데이터를 가져와 새로운 새로운 위협을 감지하고 조사를 위한 추가 컨텍스트를 제공합니다. Microsoft Defender XDR에는 ID를 사용하는 위험 수준에 따라 사용자를 차단할 수 있는 Microsoft Entra ID 보호가 있습니다. 추가 분석 및 자동화를 위해 관련 데이터를 Microsoft Sentinel에 공급합니다. |
위반 가정 | Microsoft Defender XDR은 위협 및 취약성에 대한 환경을 지속적으로 검사합니다. Microsoft Sentinel은 수집된 데이터와 각 엔터티의 행동 추세를 분석하여 기업 전체에서 의심스러운 활동, 변칙 및 다단계 위협을 검색합니다. Microsoft Defender XDR과 Microsoft Sentinel은 모두 자동화된 조사, 디바이스 격리 및 데이터 격리를 비롯한 자동화된 수정 작업을 구현할 수 있습니다. 디바이스 위험을 Microsoft Entra 조건부 액세스에 공급하기 위한 신호로 사용할 수 있습니다. |
Microsoft Sentinel 및 XDR 아키텍처
Microsoft Sentinel 고객은 다음 방법 중 하나를 사용하여 Microsoft Sentinel을 Microsoft Defender XDR 서비스와 통합할 수 있습니다.
Microsoft Sentinel 데이터 커넥터를 사용하여 Microsoft Defender XDR 서비스 데이터를 Microsoft Sentinel로 수집합니다. 이 경우 Azure Portal에서 Microsoft Sentinel 데이터를 봅니다.
Microsoft Sentinel 및 Microsoft Defender XDR을 Microsoft Defender 포털의 단일 통합 보안 운영 플랫폼에 통합합니다. 이 경우 나머지 Defender 인시던트, 경고, 취약성 및 기타 보안 데이터를 사용하여 Microsoft Defender 포털에서 직접 Microsoft Sentinel 데이터를 확인합니다.
이 솔루션 가이드는 두 방법 모두에 대한 정보를 제공합니다. 이 솔루션 가이드 전체에서 작업 영역과 관련된 탭을 선택합니다. 통합 보안 운영 플랫폼에 작업 영역을 온보딩한 경우 Defender 포털에서 작업합니다. 작업 영역을 온보딩하지 않은 경우 달리 명시되지 않은 한 Azure Portal에서 작업합니다.
다음 그림에서는 Microsoft의 XDR 솔루션이 통합 보안 운영 플랫폼과 Microsoft Sentinel과 원활하게 통합되는 방법을 보여 줍니다.
이 다이어그램에서
- 전체 조직에서 신호의 인사이트는 Microsoft Defender XDR 및 클라우드용 Microsoft Defender 피드합니다.
- Microsoft Sentinel은 다중 클라우드 환경을 지원하고 타사 앱 및 파트너와 통합합니다.
- Microsoft Sentinel 데이터는 조직의 데이터와 함께 Microsoft Defender 포털로 수집됩니다.
- 그런 다음 SecOps 팀은 Microsoft Defender 포털에서 Microsoft Sentinel 및 Microsoft Defender XDR로 식별된 위협을 분석하고 대응할 수 있습니다.
제로 트러스트 Microsoft Sentinel 및 Microsoft Defender XDR 구현
Microsoft Defender XDR은 Microsoft Sentinel을 보완하는 XDR 솔루션입니다. XDR은 클라우드 애플리케이션, 이메일 보안, ID 및 액세스 관리와 같은 여러 서비스에서 원시 원격 분석 데이터를 가져옵니다.
XDR은 AI(인공 지능) 및 기계 학습을 사용하여 자동 분석, 조사 및 응답을 실시간으로 수행합니다. 또한 XDR 솔루션은 보안 경고를 더 큰 인시던트와 상호 연결하여 보안 팀이 공격에 대한 가시성을 높이고 인시던트 우선 순위를 제공하여 분석가가 위협의 위험 수준을 이해할 수 있도록 지원합니다.
Microsoft Sentinel을 사용하면 기본 제공 커넥터 및 업계 표준을 사용하여 많은 보안 원본에 연결할 수 있습니다. AI를 사용하면 여러 원본에 걸친 여러 낮은 충실도 신호의 상관 관계를 지정하여 랜섬웨어 킬 체인 및 우선 순위가 지정된 경고에 대한 전체 보기를 만들 수 있습니다.
SIEM 및 XDR 기능 적용
이 섹션에서는 피싱 공격과 관련된 일반적인 공격 시나리오를 살펴본 다음 Microsoft Sentinel 및 Microsoft Defender XDR을 사용하여 인시던트에 대응하는 방법을 진행합니다.
일반적인 공격 순서
다음 다이어그램에서는 피싱 시나리오의 일반적인 공격 순서를 보여 줍니다.
또한 다이어그램은 각 공격 단계를 감지하기 위한 Microsoft 보안 제품과 공격 신호 및 SIEM 데이터가 Microsoft Defender XDR 및 Microsoft Sentinel로 흐르는 방식을 보여 줍니다.
다음은 공격에 대한 요약입니다.
공격 단계 | 검색 서비스 및 신호 원본 | 방어 기능 |
---|---|---|
1. 공격자가 피싱 이메일을 보냅니다. | Office 365용 Microsoft Defender | 악의적인 가장 기반 피싱 공격으로부터 보호할 수 있는 고급 피싱 방지 기능으로 사서함을 보호합니다. |
2. 사용자가 첨부 파일을 엽니다. | Office 365용 Microsoft Defender | Office 365용 Microsoft Defender 안전한 첨부 파일 기능은 더 많은 위협 검색(폭발)을 위해 격리된 환경에서 첨부 파일을 엽니다. |
3. 첨부 파일이 맬웨어를 설치합니다. | 엔드포인트에 대한 Microsoft Defender | 클라우드 제공 보호 및 동작 기반/추론/실시간 바이러스 백신 보호와 같은 차세대 보호 기능을 사용하여 맬웨어로부터 엔드포인트를 보호합니다. |
4. 맬웨어가 사용자 자격 증명을 도용합니다. | Microsoft Entra ID 및 Microsoft Entra ID 보호 | 사용자 동작 및 활동을 모니터링하고, 횡적 이동을 검색하고, 비정상적인 활동을 경고하여 ID를 보호합니다. |
5. 공격자가 Microsoft 365 앱 및 데이터에서 횡적으로 이동 | Microsoft Defender for Cloud 앱 | 클라우드 앱에 액세스하는 사용자의 비정상적인 활동을 검색할 수 있습니다. |
6. 공격자가 SharePoint 폴더에서 중요한 파일을 다운로드합니다. | Microsoft Defender for Cloud 앱 | SharePoint에서 파일의 대량 다운로드 이벤트를 검색하고 응답할 수 있습니다. |
Microsoft Sentinel 작업 영역을 통합 보안 운영 플랫폼에 온보딩한 경우 MICROSOFT Defender 포털에서 직접 Microsoft Sentinel에서 SIEM 데이터를 사용할 수 있습니다.
Microsoft Sentinel 및 Microsoft Defender XDR을 사용한 인시던트 대응
일반적인 공격이 어떻게 발생하는지 살펴보았으므로 인시던트 대응을 위해 Microsoft Sentinel 및 Microsoft Defender XDR의 통합을 살펴보겠습니다.
통합 보안 운영 플랫폼에 작업 영역을 온보딩했는지 여부에 따라 작업 영역에 대한 관련 탭을 선택합니다.
통합 보안 운영 플랫폼에 작업 영역을 온보딩하여 Microsoft Sentinel 및 Microsoft Defender XDR을 통합한 후 다른 Microsoft Defender XDR 인시던트와 마찬가지로 Microsoft Defender 포털에서 직접 모든 인시던트 대응 단계를 완료합니다. 지원되는 단계에는 심사부터 조사 및 해결까지 모든 것이 포함됩니다.
Defender 포털에서만 사용할 수 없는 기능은 Microsoft Defender 포털의 Microsoft Sentinel 영역을 사용합니다.
자세한 내용은 Microsoft Sentinel 및 Microsoft Defender XDR을 사용하여 인시던트 대응을 참조하세요.
주요 기능
인시던트 관리에 제로 트러스트 접근 방식을 구현하려면 이러한 Microsoft Sentinel 및 XDR 기능을 사용합니다.
기능 또는 기능 | 설명 | Product |
---|---|---|
자동화된 조사 및 응답(AIR) | AIR 기능은 경고를 조사하고 침해를 해결하기 위해 즉각적인 조치를 취하도록 설계되었습니다. AIR 기능은 경보 볼륨을 크게 줄여 보안 운영이 보다 정교한 위협 및 기타 고가치 이니셔티브에 집중할 수 있도록 합니다. | Microsoft Defender XDR |
고급 사냥 | 고급 헌팅은 최대 30일의 원시 데이터를 탐색할 수 있는 쿼리 기반 위협 헌팅 도구입니다. 네트워크에서 이벤트를 사전에 검사하여 위협 지표 및 엔터티를 찾을 수 있습니다. 데이터에 유연하게 액세스하면 알려진 위협과 잠재적 위협 모두에 대한 헌팅을 제한 없이 수행할 수 있습니다. | Microsoft Defender XDR |
사용자 지정 파일 표시기 | 잠재적으로 악의적인 파일 또는 의심되는 맬웨어를 금지하여 조직에서 공격이 추가로 전파되는 것을 방지합니다. | Microsoft Defender XDR |
클라우드 검색 | Cloud Discovery는 엔드포인트용 Defender에서 수집한 트래픽 로그를 분석하고 클라우드 앱 카탈로그에 대해 식별된 앱을 평가하여 규정 준수 및 보안 정보를 제공합니다. | Microsoft Defender for Cloud 앱 |
사용자 지정 네트워크 표시기 | 이제 IP 및 URL 또는 도메인에 대한 지표를 만들어 자체적인 위협 인텔리전스에 따라 IP, URL 또는 도메인을 허용하거나 차단할 수 있습니다. | Microsoft Defender XDR |
EDR(엔드포인트 검색 및 응답) 블록 | MDAV(Microsoft Defender 바이러스 백신)가 기본 바이러스 백신 제품이 아니며 수동 모드에서 실행되는 경우 악성 아티팩트로부터 추가적인 보호를 제공합니다. 블록 모드의 EDR은 백그라운드에서 작동하여 EDR 기능에서 검색된 악의적인 아티팩트를 수정합니다. | Microsoft Defender XDR |
디바이스 응답 기능 | 디바이스를 격리하거나 조사 패키지를 수집하여 감지된 공격에 신속하게 대응 | Microsoft Defender XDR |
라이브 응답 | 라이브 응답을 통해 보안 운영 팀은 원격 셸 연결을 사용하여 디바이스(컴퓨터라고도 함)에 즉시 액세스할 수 있습니다. 이를 통해 심층 조사 작업을 수행하고 즉각적인 응답 작업을 수행하여 실시간으로 식별된 위협을 즉시 포함시킬 수 있습니다. | Microsoft Defender XDR |
클라우드 애플리케이션 보안 | 다중 클라우드 및 다중 파이프라인 환경에서 코드 수준에서 보안 관리를 통합하는 DevSecOps(개발 보안 작업) 솔루션 | Microsoft Defender for Cloud |
보안 상태 개선 | 위반을 방지하기 위해 수행할 수 있는 작업을 표시하는 CSPM(클라우드 보안 태세 관리) 솔루션 | Microsoft Defender for Cloud |
클라우드 워크로드 보호 | 서버, 컨테이너, 스토리지, 데이터베이스, 기타 워크로드에 대한 특정 보호를 사용하는 CWPP(클라우드 워크로드 보호 플랫폼) | Microsoft Defender for Cloud |
UEBA(사용자 및 엔터티 동작 분석) | 사용자, 호스트, IP 주소 및 애플리케이션과 같은 조직 엔터티의 동작을 분석합니다. | Microsoft Sentinel 온보딩된 작업 영역의 경우 통합 보안 운영 플랫폼의 Microsoft Sentinel |
Fusion | 확장 가능한 기계 학습 알고리즘을 기반으로 하는 상관 관계 엔진입니다. 킬 체인의 다양한 단계에서 관찰되는 비정상적인 동작과 의심스러운 활동의 조합을 식별하여 APT(고급 영구 위협)라고도 하는 다단계 공격을 자동으로 감지합니다. | Microsoft Sentinel 온보딩된 작업 영역의 경우 통합 보안 운영 플랫폼의 Microsoft Sentinel |
위협 인텔리전스 | Microsoft 타사 공급자를 사용하여 데이터를 보강하여 사용자 환경에서 활동, 경고 및 로그에 대한 추가 컨텍스트를 제공합니다. | Microsoft Sentinel 온보딩된 작업 영역의 경우 통합 보안 운영 플랫폼의 Microsoft Sentinel |
자동화 | 자동화 규칙은 다양한 시나리오에서 적용할 수 있는 작은 규칙 집합을 정의하고 조정할 수 있도록 하여 Microsoft Sentinel을 사용하여 자동화를 중앙에서 관리하는 방법입니다. | Microsoft Sentinel 온보딩된 작업 영역의 경우 통합 보안 운영 플랫폼의 Microsoft Sentinel |
변칙 규칙 | 변칙 규칙 템플릿은 기계 학습을 사용하여 특정 형식의 변칙 동작을 검색합니다. | Microsoft Sentinel 온보딩된 작업 영역의 경우 통합 보안 운영 플랫폼의 Microsoft Sentinel |
예약된 쿼리 | Sentinel에서 수집한 로그를 통해 의심스러운 활동 체인, 알려진 위협을 검색하는 Microsoft 보안 전문가가 작성한 기본 제공 규칙입니다. | Microsoft Sentinel 온보딩된 작업 영역의 경우 통합 보안 운영 플랫폼의 Microsoft Sentinel |
NRT(거의 실시간) 규칙 | NRT 규칙은 가능한 한 최신 정보를 제공하기 위해 1분에 한 번 실행되도록 설계된 제한된 예약 규칙 집합입니다. | Microsoft Sentinel 온보딩된 작업 영역의 경우 통합 보안 운영 플랫폼의 Microsoft Sentinel |
헌팅 | 보안 분석가가 보안 앱 또는 예약된 분석 규칙에 의해 검색되지 않은 새 변칙을 사전에 확인하는 데 도움이 되도록 Microsoft Sentinel의 기본 제공 헌팅 쿼리는 네트워크에 이미 있는 데이터의 문제를 찾기 위한 적절한 질문을 안내합니다. | Microsoft Sentinel 온보딩된 작업 영역의 경우 Microsoft Defender 포털의 고급 헌팅 기능을 사용합니다. |
Microsoft Defender XDR 커넥터 | Microsoft Defender XDR 커넥터는 로그 및 인시던트와 Microsoft Sentinel을 동기화합니다. | Microsoft Defender XDR 및 Microsoft Sentinel br> 온보딩된 작업 영역의 경우 통합 보안 운영 플랫폼의 Microsoft Sentinel |
데이터 커넥터 | Microsoft Sentinel에서 분석을 위해 데이터 수집을 허용합니다. | Microsoft Sentinel 온보딩된 작업 영역의 경우 통합 보안 운영 플랫폼의 Microsoft Sentinel |
콘텐츠 허브 솔루션 -제로 트러스트(TIC 3.0) | 제로 트러스트(TIC 3.0)에는 통합 문서, 분석 규칙 및 플레이북이 포함되어 있으며, 이 플레이북은 제로 트러스트 원칙의 자동화된 시각화를 제공하고 인터넷 연결 신뢰 프레임워크로 교차 안내하여 조직이 시간이 지남에 따라 구성을 모니터링할 수 있도록 지원합니다. | Microsoft Sentinel 온보딩된 작업 영역의 경우 통합 보안 운영 플랫폼의 Microsoft Sentinel |
SOAR(보안 오케스트레이션, 자동화 및 응답) | 보안 위협에 대응하여 자동화 규칙 및 플레이북을 사용하면 SOC의 효율성이 향상되고 시간과 리소스가 절약됩니다. | Microsoft Sentinel 온보딩된 작업 영역의 경우 통합 보안 운영 플랫폼의 Microsoft Sentinel |
SOC 최적화 | 특정 위협에 대한 적용 범위 격차를 해소하고 보안 가치를 제공하지 않는 데이터에 대한 수집 속도를 강화합니다. |
이 솔루션의 내용
이 솔루션은 보안 운영 팀이 제로 트러스트 접근 방식을 사용하여 인시던트를 효과적으로 수정할 수 있도록 Microsoft Sentinel 및 XDR 구현을 안내합니다.
권장 교육
교육 콘텐츠는 현재 통합 보안 운영 플랫폼을 다루지 않습니다.
학습 | Microsoft Defender XDR을 Microsoft Sentinel에 연결 |
---|---|
Microsoft Defender XDR에 대한 Microsoft Sentinel 커넥터에서 제공하는 구성 옵션 및 데이터에 대해 알아봅니다. |
다음 단계
다음 단계를 사용하여 제로 트러스트 방법을 위해 Microsoft Sentinel 및 XDR을 구현합니다.
또한 Azure에 제로 트러스트 원칙을 적용하기 위한 다음 문서를 참조하세요.
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기