위협 검색
우발적으로 데이터가 노출되지 않도록 보호하는 방법에 대해 알아볼 때 다음으로 고려해야 하는 사항이자 Defender for Cloud Apps 프레임워크의 요소 중 하나는 사이버 위협 및 이상 징후로부터 보호하는 것입니다.
Microsoft Defender for Cloud Apps에는 사용자 및 엔터티 동작 분석(UEBA) 및 기계 학습을 활용하여 클라우드 환경 전체에서 고급 위협 감지 기능을 제공하는 바로 사용 가능한 이상 징후 탐지 정책이 포함되어 있습니다. 변칙 검색은 본질적으로 비결정적이라는 점에 유의해야 합니다. 이러한 탐지 기능은 기준을 벗어나는 동작이 있을 때만 작동합니다.
이상 징후 탐지 정책이 자동으로 사용하도록 설정되어 있기는 하지만 Microsoft Defender for Cloud Apps는 처음 7일간 사용자 환경에 대해 학습합니다. 사용자가 액세스하는 IP 주소, 장치 및 사용자 액세스 위치를 살펴보고, 사용자가 사용하는 앱과 서비스를 확인하며, 이러한 모든 활동의 위험 점수를 계산합니다. 이러한 프로세스를 통해 사용자 환경 및 알림의 비교 대상이 되는 기준이 생깁니다. 탐지 정책은 또한 기계 학습을 사용하여 사용자를 프로파일링합니다. Microsoft Defender for Cloud Apps에서 사용자와 해당 사용자의 정상적인 로그인 패턴을 인식하면 가양성 경고를 줄이는 데 도움이 됩니다.
사용자 활동을 스캔하고 위험 여부를 평가하는 식으로 이상 징후를 탐지합니다. 다음과 같은 위험 요인으로 그룹화된 30개가 넘는 다양한 지표를 검토하여 위험을 평가합니다.
- 위험한 IP 주소
- 로그인 실패
- 관리 활동
- 비활성 계정
- 위치
- 불가능한 이동
- 디바이스 및 사용자 에이전트
- 활동도
Microsoft Defender for Cloud Apps는 클라우드의 모든 사용자 세션을 확인하여 조직의 기준이나 사용자의 정규 활동과 다른 이벤트가 발생하는 경우 경고합니다.
이상 징후 탐지 정책 개요
Microsoft Defender for Cloud Apps의 이상 징후 탐지 정책은 다양한 보안 문제를 감지하도록 구성됩니다. 최고 인기 항목:
- 불가능한 이동 두 위치 사이의 예상 이동 시간보다 짧은 기간 이내에 서로 다른 위치에 있는 동일한 사용자의 활동.
- 자주 방문하지 않는 국가에서의 활동 사용자 또는 조직의 사용자가 최근에 방문하지 않았거나 방문한 적이 없는 위치의 활동입니다.
- 맬웨어 탐지 클라우드 앱의 파일을 스캔하고 Microsoft의 위협 인텔리전스 엔진을 통해 의심스러운 파일을 실행하여 알려진 맬웨어와 관련이 있는지 여부를 판단합니다.
- 랜섬웨어 활동 랜섬웨어에 감염되었을 수 있는 클라우드로의 파일 업로드.
- 의심스러운 IP 주소에서 시작된 활동 Microsoft 위협 인텔리전스에서 위험으로 식별된 IP 주소에서 시작된 활동.
- 의심스러운 받은 편지함 전달 사용자의 받은 편지함에 설정된 의심스러운 받은 편지함 전달 규칙을 탐지합니다.
- 비정상적인 여러 파일 다운로드 활동 학습한 기준에 비해 단일 세션에서 여러 파일 다운로드 활동이 탐지되는 경우로 이는 보안 위반 시도를 나타낼 수 있습니다.
- 비정상적인 관리 활동 학습한 기준에 비해 단일 세션에서 수차례 관리 활동이 감지되며 이 경우 보안 위반 시도임을 나타낼 수 있습니다.
이상 징후 탐지 정책 구성
이상 징후 탐지 정책에 대해 알아보았으므로, 검색 이상 징후 정책을 구성해보면 사용자 환경에 맞게 설정 및 구성하는 단계를 알아볼 수 있습니다. 검색 이상 징후 탐지 정책은 클라우드 응용 프로그램 사용량이 비정상적으로 증가하는지를 살펴봅니다. 다운로드 및 업로드한 데이터, 트랜잭션 및 각 클라우드 응용 프로그램의 사용자 수가 증가하는지 살펴봅니다. 그런 다음 각 증가 사례를 응용 프로그램의 기준과 비교합니다. 가장 극단적으로 증가할 경우 보안 경고가 트리거됩니다.
필터를 설정하여 응용 프로그램 사용 현황을 모니터링하는 방법을 사용자 지정할 수 있습니다. 필터에는 응용 프로그램 필터, 선택한 데이터 보기 및 선택한 시작 날짜가 포함됩니다. 민감도를 설정할 수도 있는데 설정하면 정책에서 트리거해야 하는 알림 수를 설정할 수 있습니다.
경고를 억제하거나 표시하도록 이상 징후 탐지 정책 미세 조정
이상 징후 탐지 기능은 기준을 벗어나는 경우에만 작동하지만 여전히 가양성에 취약합니다. 가양성 경고가 너무 많이 표시되면 경고 피로감이 발생하고 노이즈 가운데 중요한 경고가 누락될 위험이 있습니다. 경고 노이즈를 방지하기 위해 각 정책의 검색 논리를 미세 조정하여 VPN 활동과 같이 가양성 트리거할 수 있는 시나리오를 해결하기 위해 다양한 수준의 표시 안 함을 포함할 수 있습니다.
이상 징후 탐지 정책을 만들거나 편집할 경우 필요한 정책 적용 범위의 유형에 따라 해당 민감도를 결정합니다. 민감도가 높을수록 더 엄격한 탐지 논리 알고리즘을 사용합니다. 이런 식으로 각 정책에 맞게 탐지 전략을 수정할 수 있습니다.
정책을 세밀하게 조정하기 전에 알림이 표시되지 않도록 하는 옵션을 알면 도움이 됩니다. 다음 세 가지의 억제 유형이 있습니다.
| 억제 유형 | 설명 |
|---|---|
| 시스템 | 기본 제공되는 탐지 기능으로 항상 표시되지 않습니다. |
| 테넌트 | 테넌트의 이전 활동을 기반으로 하는 일반적인 활동입니다. 예를 들어 조직에서 이전에 경고한 ISP의 활동을 표시하지 않습니다. |
| 사용자 | 특정 사용자의 이전 활동을 기반으로 하는 일반적인 활동입니다. 예를 들어 사용자가 일반적으로 사용하는 위치에서 활동을 표시하지 않습니다. |
민감도 수준은 억제 유형에 따라 다르게 영향을 미칩니다.
| 민감도 수준 | 영향을 받은 표시 중지 유형 |
|---|---|
| 낮음 | 시스템, 테넌트 및 사용자 |
| 보통 | 시스템 및 사용자 |
| 높음 | 시스템만 |
또한 드물게 방문하는 국가/지역의 활동 알림, 익명 IP 주소, 의심스러운 IP 주소 및 불가능한 이동이 로그인 실패 및 성공을 분석해야 하는지, 아니면 로그인 성공만을 분석해야 하는지 여부를 구성할 수 있습니다.
사용자 및 그룹에 맞도록 이상 징후 탐지 범위 정책 조정
정책에 포함하거나 정책에서 제외하려는 사용자 및 그룹에만 적용되도록 각 이상 징후 탐지 정책의 범위를 독립적으로 지정할 수 있습니다. 예를 들어 자주 여행하는 특정 사용자를 무시하도록 드문 국가/지역 검색에서 활동을 설정할 수 있습니다.
이상 징후 탐지 정책의 범위를 지정하려면 다음을 수행하세요.
브라우저에서 Microsoft Defender for Cloud Apps 포털에 로그인합니다.
컨트롤>정책을 선택하고 유형 필터를 이상 징후 탐지 정책으로 설정합니다.
범위를 지정하려는 정책을 선택합니다.
범위에서 모든 사용자 및 그룹의 기본 설정에서 특정 사용자 및 그룹으로 드롭다운을 변경합니다.
포함을 선택하여 이 정책이 적용되는 사용자 및 그룹을 지정합니다. 여기서 선택하지 않은 사용자 또는 그룹은 위협으로 간주되거나 경고를 생성하지 않습니다.
이 적책을 적용하지 않을 사용자를 지정하려면 제외를 선택합니다. 여기에서 선택한 사용자는 위협으로 간주되거나 경고가 생성되지 않습니다. 이러한 사용자가 포함에서 선택한 그룹의 구성원인 경우에도 마찬가지입니다.
범위 변경을 완료한 후 업데이트를 선택하여 변경을 적용합니다.
