Microsoft Sentinel을 사용하여 제로 트러스트(TIC 3.0) 보안 아키텍처 모니터링

  • 아티클

제로 트러스트는 다음 보안 원칙 집합을 디자인하고 구현하기 위한 보안 전략입니다.

명시적으로 확인 최소 권한 액세스 사용 위반 가정
항상 사용 가능한 모든 데이터 포인트를 기반으로 인증하고 권한을 부여합니다. JIT/JEA(Just-In-Time and Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다. 미치는 영향 및 세그먼트 액세스를 최소화합니다. 엔드투엔드 암호화를 확인하고, 분석을 사용하여 가시성을 확보하고, 위협 탐지를 추진하고, 방어를 향상시킵니다.

이 문서에서는 거버넌스 및 규정 준수 팀이 신뢰할 수 있는 인터넷 연결(TIC) 3.0 이니셔티브에 따라 제로 트러스트 요구 사항을 모니터링하고 대응하는 데 도움이 되는 Microsoft Sentinel 제로 트러스트(TIC 3.0) 솔루션을 사용하는 방법을 설명합니다.

Microsoft Sentinel 솔루션은 특정 데이터 집합을 대상으로 미리 구성된 번들 콘텐츠 집합입니다. 제로 트러스트(TIC 3.0) 솔루션에는 제로 트러스트 원칙을 신뢰할 수 있는 인터넷 연결 프레임워크와 비교하여 자동으로 시각화함으로써 조직에서 시간 경과에 따른 구성을 모니터링할 수 있도록 도와주는 통합 문서, 분석 규칙 및 플레이북이 포함되어 있습니다.

제로 트러스트 솔루션 및 TIC 3.0 프레임워크

제로 트러스트와 TIC 3.0이 동일하지는 않지만 여러 공통 테마를 공유하며 겹치는 부분이 많습니다. 제로 트러스트(TIC 3.0)용 Microsoft Sentinel 솔루션은 Microsoft Sentinel과 TIC 3.0 프레임워크를 사용하는 제로 트러스트 모델을 구체적으로 비교합니다. 이러한 정보는 사용자가 둘 사이에 겹치는 부분을 보다 정확하게 이해하는 데 도움이 됩니다.

제로 트러스트(TIC 3.0)용 Microsoft Sentinel 솔루션은 모범 사례 지침을 제공합니다. 그러나 이는 준수를 보장하거나 의미하는 것은 아닙니다. 모든 TIC(신뢰할 수 있는 인터넷 연결) 요구 사항, 유효성 검사 및 컨트롤은 사이버 보안 및 인프라 보안 기관의 관리를 받습니다.

제로 트러스트(TIC 3.0) 솔루션은 주로 클라우드 기반 환경에서 Microsoft 기술을 통해 제공되는 컨트롤 요구 사항에 대한 가시성 및 상황 인식 정보를 제공합니다. 고객 환경은 사용자에 따라 달라지며, 일부 창에서는 작업을 위해 구성을 추가하고 쿼리를 수정해야 할 수도 있습니다.

권장 사항은 각 고객의 고유한 요구 사항에 접근하는 여러 작업 과정 중 하나일 때가 많으므로 각 컨트롤의 적용 범위를 의미하지는 않습니다. 권장 사항은 각 컨트롤 요구 사항의 전체 또는 부분 적용 범위를 계획하기 위한 시작점이라고 생각해야 합니다.

제로 트러스트(TIC 3.0)용 Microsoft Sentinel 솔루션은 다음과 같은 사용자 및 사용 사례에 유용합니다.

  • 규정 준수 태세를 평가하고 보고하려는 보안 거버넌스, 위험 및 규정 준수 전문가
  • 제로 트러스트 및 TIC 3.0에 부합하는 워크로드를 설계해야 하는 엔지니어 및 아키텍트
  • 경고 및 자동화 기능을 빌드하려는 보안 분석가
  • 컨설팅 서비스를 제공하려는 MSSP(관리되는 보안 서비스 공급자)
  • 요구 사항을 검토하고, 보고서를 분석하고, 기능을 평가해야 하는 보안 관리자

필수 조건

제로 트러스트(TIC 3.0) 솔루션을 설치하기 전에, 다음과 같은 필수 구성 요소가 있는지 확인해야 합니다.

  • Microsoft 서비스 온보딩: Azure 구독에서 Microsoft Sentinel클라우드용 Microsoft Defender를 사용하도록 설정했는지 확인합니다.

  • 클라우드용 Microsoft Defender의 요구 사항: 클라우드용 Microsoft Defender에서 다음을 수행합니다.

  • 필요한 사용자 권한. 제로 트러스트(TIC 3.0) 솔루션을 설치하려면 보안 읽기 권한자 권한으로 Microsoft Sentinel 작업 영역에 액세스할 수 있어야 합니다.

제로 트러스트(TIC 3.0) 솔루션은 다음과 같은 다른 Microsoft 서비스와의 통합을 통해서도 향상됩니다.

제로 트러스트(TIC 3.0) 솔루션 설치

Azure Portal에서 제로 트러스트(TIC 3.0) 솔루션을 배포하려면 다음을 수행합니다.

  1. Microsoft Sentinel에서 콘텐츠 허브를 선택하고 제로 트러스트(TIC 3.0) 솔루션을 찾습니다.

  2. 오른쪽 아래에서 세부 정보 보기, 만들기를 차례로 선택합니다. 솔루션을 설치할 구독, 리소스 그룹 및 작업 영역을 선택한 다음 배포할 관련 보안 콘텐츠를 검토합니다.

    완료되면 검토 + 만들기를 선택하여 솔루션을 설치합니다.

자세한 내용은 기본 제공 콘텐츠 및 솔루션 배포를 참조하세요.

샘플 사용 시나리오

다음 섹션에서는 보안 운영 분석가가 제로 트러스트(TIC 3.0) 솔루션과 함께 배포된 리소스를 사용하여 요구 사항을 검토하고, 쿼리를 탐색하고, 경고를 구성하고, 자동화를 구현하는 방법을 보여줍니다.

제로 트러스트(TIC 3.0) 솔루션을 설치한 후에는 Microsoft Sentinel 작업 영역에 배포된 통합 문서, 분석 규칙 및 플레이북을 사용하여 네트워크의 제로 트러스트를 관리합니다.

제로 트러스트 데이터 시각화

  1. Microsoft Sentinel 통합 문서>제로 트러스트(TIC 3.0) 통합 문서로 이동하여 저장된 통합 문서 보기를 선택합니다.

    제로 트러스트(TIC 3.0) 통합 문서 페이지에서 보고 싶은 TIC 3.0 기능을 선택합니다. 여기서는 침입 탐지를 선택합니다.

    페이지 맨 위에 있는 가이드 토글을 사용하여 권장 사항 및 가이드 창을 표시하거나 숨길 수 있습니다. 찾으려는 데이터를 볼 수 있도록 구독, 작업 영역TimeRange 옵션에서 올바른 세부 정보를 선택합니다.

  2. 표시된 컨트롤 카드를 검토합니다. 예를 들어 아래로 스크롤하여 적응형 Access Control 카드를 확인합니다.

    적응형 Access Control 카드의 스크린샷.

    왼쪽 위에 있는 가이드 토글을 사용하여 권장 사항 및 가이드 창을 표시하거나 숨길 수 있습니다. 예를 들어 통합 문서에 처음 액세스할 때에는 유용하겠지만 관련 개념을 이해한 후에는 불필요합니다.

  3. 쿼리 탐색. 예를 들어 적응형 Access Control 카드 오른쪽 위에서 :더 보기 단추를 선택한 다음, 로그 보기에서 마지막 실행 쿼리를 엽니다 옵션을 선택합니다.

    그러면 Microsoft Sentinel 로그 페이지에서 쿼리가 열립니다.

    Microsoft Sentinel Logs 페이지에서 선택한 쿼리의 스크린샷.

Microsoft Sentinel에서 분석 영역으로 이동합니다. TIC3.0을 검색하여 제로 트러스트(TIC 3.0) 솔루션과 함께 배포된 기본 제공 분석 규칙을 확인합니다.

기본적으로 제로 트러스트(TIC 3.0) 솔루션은 컨트롤 패밀리가 제로 트러스트(TIC3.0) 태세를 모니터링하도록 구성된 분석 규칙 집합을 설치하며, 사용자는 태세가 바뀌면 규정 준수 팀에 경고하도록 임계값을 사용자 지정할 수 있습니다.

예를 들어 워크로드의 복원력 태세가 1주일 동안 지정된 비율 아래로 떨어지면 Microsoft Sentinel은 각 정책 상태(통과/실패), 식별된 자산, 마지막 평가 시간을 자세히 설명하고 수정 작업을 위한 클라우드용 Microsoft Defender 딥 링크를 제공하는 경고를 생성합니다.

필요한 대로 규칙을 업데이트하거나 새 규칙을 구성합니다.

Analytics 규칙 마법사의 스크린샷.

자세한 내용은 위협 탐지를 위한 사용자 지정 분석 규칙 생성하기를 참조하세요.

SOAR로 대응

Microsoft Sentinel에서 자동화>활성 플레이북 탭으로 이동하여 Notify-GovernanceComplianceTeam 플레이북을 찾습니다.

이 플레이북을 사용하여 CMMC 경고를 자동으로 모니터링하고, 이메일과 Microsoft Teams 메시지를 통해 거버넌스 규정 준수 팀에 관련 세부 정보를 알립니다. 필요한 대로 플레이북을 수정합니다.

샘플 플레이북을 보여 주는 논리 앱 디자이너의 스크린샷.

자세한 내용은 Microsoft Sentinel 플레이북에서 트리거 및 작업 사용을 참조하세요.

자주 묻는 질문

사용자 지정 보기 및 보고서가 지원되나요?

예. 제로 트러스트(TIC 3.0) 통합 문서를 사용자 지정하여 구독, 작업 영역, 시간, 컨트롤 패밀리 또는 완성도 매개 변수별로 데이터를 살펴보고, 통합 문서를 내보내고 인쇄할 수 있습니다.

자세한 내용은 Azure Monitor 통합 문서를 사용하여 데이터 시각화 및 모니터링을 참조하세요.

추가 제품이 필요한가요?

Microsoft Sentinel 및 클라우드용 Microsoft Defender가 모두 필요합니다.

이러한 서비스 외에도, 각 컨트롤 카드는 카드에 표시되는 데이터 형식 및 시각화에 따라 여러 서비스의 데이터를 기반으로 합니다. 25개가 넘는 Microsoft 서비스가 제로 트러스트(TIC 3.0) 솔루션을 보완해줍니다.

데이터가 없는 패널로 무엇을 할 수 있나요?

데이터가 없는 패널은 각 컨트롤을 해결하기 위한 권장 사항을 포함하여 제로 트러스트 및 TIC 3.0 컨트롤 요구 사항을 해결하기 위한 시작점을 제공합니다.

여러 구독, 클라우드 및 테넌트가 지원되나요?

예. 통합 문서 매개 변수, Azure Lighthouse 및 Azure Arc를 사용하여 모든 구독, 클라우드 및 테넌트에서 제로 트러스트(TIC 3.0) 솔루션을 활용할 수 있습니다.

자세한 내용은 Azure Monitor 통합 문서를 사용하여 데이터 시각화 및 모니터링 MSSP로 Microsoft Sentinel에서 여러 테넌트 관리를 참조하세요.

파트너 통합이 지원되나요?

예. 통합 문서와 분석 규칙을 사용자 지정하여 파트너 서비스와 통합할 수 있습니다.

자세한 내용은 Azure Monitor 통합 문서를 사용하여 데이터 시각화 및 모니터링 경고에 사용자 지정 이벤트 세부 정보 표시를 참조하세요.

정부 지역에서 사용할 수 있나요?

예. 제로 트러스트(TIC 3.0) 솔루션은 공개 미리 보기로 제공되며 상용/정부 지역에 배포할 수 있습니다. 자세한 내용은 상용 고객 및 미국 정부 고객을 위한 클라우드 기능 가용성을 참조하세요.

이 콘텐츠를 사용하려면 어떤 권한이 필요한가요?

자세한 내용은 Microsoft Sentinel의 권한을 참조하세요.

다음 단계

자세한 내용은 다음을 참조하세요.

동영상 시청:

블로그 읽기