클라우드용 Defender를 사용하여 인프라 보안 관리

  • 10분

회사가 금융 조직이므로 가장 높은 보안 표준을 충족해야 합니다. 각 고객 또는 파트너 트랜잭션은 위협으로부터 완벽하게 보호되어야 하며 잠재적인 위협에도 효과적으로 대응해야 합니다. 예를 들어, VM(가상 머신)이 손상된 경우 문제를 해결하기 위해 신속하게 조치를 취해야 합니다.

이 단원에서는 클라우드용 Microsoft Defender를 사용하여 리소스를 보호하고 위협에 대응하는 방법을 설명합니다. 클라우드용 Defender는 인프라의 보안 구성을 최대한 안전하게 유지하는 데 도움이 됩니다.

클라우드용 Defender를 사용하여 다음을 할 수 있습니다.

  • 아키텍처의 보안 상태 이해.
  • 인프라에 대한 위험과 위협을 파악하고 처리하려는 경우
  • 전통적인 사내 기술과 자본을 활용하여 복잡한 인프라를 확보합니다.
  • 온-프레미스 및 클라우드 리소스로 구성된 인프라를 보호하려는 경우

보안 태세 이해

더 나은 인프라를 빌드하고 유지 관리하려면 아키텍처의 보안 태세를 이해해야 합니다. 클라우드용 Defender는 다음을 포함하여 환경의 다양한 구성 요소에 대한 자세한 분석을 제공하여 아키텍처의 보안을 이해하는 데 도움이 됩니다.

  • 데이터 보안
  • 네트워크 보안
  • ID 및 액세스
  • 애플리케이션 보안

클라우드용 Defender는 Azure Monitor 로그를 사용하여 VM에서 데이터를 수집하여 보안 취약성 및 위협을 모니터링합니다. 에이전트는 VM에서 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석을 위해 데이터를 Log Analytics 작업 영역에 복사합니다.

클라우드용 Defender에서는 발견된 문제와 위험을 처리하는 방법을 추천합니다. 권장 사항을 사용하여 아키텍처의 보안 및 규정 준수를 개선할 수 있습니다.

Screenshot of recommendation in Microsoft Defender for Cloud.

위협으로부터 보호

클라우드용 Defender JIT(Just-In-Time) VM 액세스 및 적응형 애플리케이션 제어를 사용하면 의심스러운 작업을 차단하고 리소스를 보호할 수 있습니다. 이러한 제어에 액세스하려면 클라우드용 Defender 왼쪽 탐색의 클라우드 보안 섹션에서 워크로드 보호를 선택합니다.

JIT VM 액세스

JIT(Just-In-Time) VM 액세스 기능을 사용하여 영구적 VM 액세스를 차단함으로써 VM을 보호할 수 있습니다. VM은 구성한 감사된 액세스만을 기반으로 액세스할 수 있습니다.

JIT를 사용하도록 설정하려면 고급 보호 아래의 워크로드 보호 화면에서 Just-in-time VM 액세스를 선택합니다. Just-in-time VM 액세스 페이지의 구성되지 않음 목록에서 하나 이상의 VM 옆에 있는 확인란을 선택한 다음 (숫자)개의 VM에서 JIT 사용을 선택하여 VM에 대해 JIT를 구성합니다.

클라우드용 Defender는 JIT가 대상으로 하는 기본 포트 목록을 표시하거나 사용자가 직접 포트를 구성할 수 있습니다.

Screenshot of JIT configuration.

적응 애플리케이션 컨트롤

적응형 애플리케이션 제어를 사용하여 VM에서 실행이 허용되는 애플리케이션을 제어할 수 있습니다. 클라우드용 Defender는 기계 학습을 사용하여 VM에서 실행 중인 프로세스를 살펴보고, VM을 보유하는 각 리소스 그룹에 대한 예외 규칙을 만들고, 권장 사항을 제공합니다.

적응형 제어를 구성하려면 고급 보호 아래의 워크로드 보호 화면에서 적응형 애플리케이션 제어를 선택합니다. 적응형 애플리케이션 제어 화면에는 VM이 포함된 리소스 그룹 목록이 표시됩니다. 권장 탭에는 클라우드용 Defender가 적응형 애플리케이션 제어를 위해 권장하는 리소스 그룹이 나열됩니다.

Screenshot of Adaptive application controls.

리소스 그룹을 선택하고 애플리케이션 제어 규칙 구성 화면을 사용하여 제어 규칙을 적용해야 하는 VM 및 애플리케이션을 대상으로 지정합니다.

위협에 대응

클라우드용 Defender는 심각도에 따라 순위가 매겨진 모든 보안 경고에 대한 중앙 집중식 보기를 제공합니다. 클라우드용 Defender 왼쪽 탐색에서 보안 경고를 선택하여 보안 경고를 볼 수 있습니다.

Screenshot of security alerts.

클라우드용 Defender는 관련 경고를 가능한 한 단일 보안 인시던트로 결합합니다. 인시던트에 포함된 특정 보안 경고를 보려면 인시던트를 선택합니다.

경고를 선택한 다음 전체 세부 정보 보기를 선택하여 경고를 자세히 살펴봅니다.

Screenshot of incident details.

클라우드용 Defender를 사용하면 조치를 취하여 위협에 더 빠르고 자동화된 방식으로 대응할 수 있습니다. 다음: 조치 취하기를 선택하여 경고에 대해 조치를 취합니다.

Screenshot of alert details.

경고에 대한 조치를 취하려면 다음 섹션을 확장합니다.

  • 리소스 컨텍스트를 검사하여 경고가 발생한 시점의 리소스 로그를 검사합니다.
  • 위협을 완화하여 위협을 최소화하거나 수정하기 위한 제안을 확인합니다.
  • 향후 공격을 방지하여 보안 권장 사항을 구현합니다.
  • 자동 응답을 트리거하여 이 보안 경고에 대한 자동 응답으로 논리 앱을 트리거합니다.
  • 미리 정의된 조건으로 제거 규칙을 만들어 유사한 경고를 표시하지 않습니다.
  • 이메일 알림 설정을 구성하여 경고를 받을 사용자와 조건을 선택합니다.

Screenshot of the Take action pane.

경고 세부 정보에서 작업이 필요하지 않은 경우(예: 가양성이 있는 경우) 경고를 해제해야 합니다. 알려진 악성 IP 주소를 차단하는 등 알려진 공격을 해결하기 위한 조치를 취하고 추가 조사가 필요한 경고를 결정해야 합니다.

Screenshot of alert status.

지식 점검

1.

클라우드용 Defender를 사용하여 VM에 대한 지속적인 액세스를 방지하려면 어떻게 해야 하나요?

2.

클라우드용 Defender 경고에 대한 응답을 어떻게 자동화할 수 있나요?